震惊!!!从一个0day到两个0day的奇妙之旅
转发至 米瑞尔信息安全 欢迎关注!
0x00 前言
(作者已经被团队派去UC震惊部工作了)
最近一直在和团队表哥们实战打击灰黑产业 学到了很多经验 以此文来记录下挖掘的两个辣鸡0day
(文章内使用的fofa语句以及站点源码全部放在hyck表哥的知识星球里 以下渗透均为本地测试)
0x01 信息收集
做了一波简单的收集如下:
- 域名:http://zb.target.com
- 真实IP:106.xx.xx.205
Nginx + PHP
- ThinkPHP V5.1.6(开启debug)
- 宝塔WAF 🤷♂️
- 后台:http://zb.target.com/admin/login
看到Thinkphp 我想到的就是拿payload一把梭哈他(奈何对方有宝塔WAF😢 没能绕过去)因本人学艺不精,不会bypass,哭晕了😂
thinkphp5.1.x payload |
那咋办呢? 当然是继续干啊 还有前台后台没看呢!
0x02 漏洞挖掘
前台:

后台:
拿出祖传弱口令 admin admin (弱口令是真的香😂)

来到后台嘛 肯定是找找上传点 找找注入(毕竟tp5 采用PDO 想了想算了吧)
最终在 http://zb.target.com/admin/Config/adds 找到一处上传点
反手 就是一波 抓包 丢Repeater 改后缀 放包
然后 我就被ban了(哈哈哈哈,调皮,年轻人不讲伍德)
ban IP 就能阻止我的脚步? 换个IP 继续干!(年轻人你好自为之)
有了前车之鉴 还是先看下黑白名单吧 在经过我 不断换IP 后 得出结论
这是一个任意文件上传
漏洞是有了 但是宝塔咋绕啊 (检测内容+后缀限制)
没办法 只有收集下指纹 找找后台弱口令 去拿其他网站 在打包源码下来审计咯(闪电鞭,劈里啪啦)
keyword:"在知识星球里面"
40多个站 弱口令还是很容易找到的
果然没有宝塔的限制 就是一帆风顺(宝塔真恶心 淦)
0x03 代码审计
源码已经打包 开始审计!
- 由于该套源码采用tp5框架注入就不看了 着重看功能点和权限验证
- 文件上传
public function adds(){ |
public function upload() |
可以看到 完全没做任何限制 妥妥的任意文件上传
2. 文件上传 (2)
public function uploadEditor() |
有了第一个洞 第二个洞就很好找了 又是一处任意文件上传 不过是在前台 需要用户登录
在经过一番审计后 发现两个任意文件上传 前台 后台 其他的洞没发现(接触审计时间太短了挖不出来呀)
但是目标站上使用了宝塔WAF 由于自己太菜 没法绕过 选择放弃
0x04 转角遇见洞
在我拿着shell 一筹莫展的时候 发现
还有另外一个站 都在一台服务器上 肯定也不是啥好东西 看看是个啥站
金手指 一看就不是好东西 搞个用户进里面看看
应该是个接单赚佣金的平台吧 进都进来了 哪能就这么走了呀 挖挖前台的洞
- 启用了
httponly
(xss就先不测试了)
在修改个人资料处 找到一处上传点
base64
上传 我直接反手 修改jpeg
为php
操作成功? 又一个0day?
可能这就是运气吧!
收集下指纹 fofa查了一手
keyword:"在知识星球里面"
500多个 美滋滋~
0x05 总结
总体来说还是非常简单的
这两套系统都是可以前台后台直接getshell的 但是需要用户登录(注册需要邀请码)
从弱口令到0day挖掘 总结一下:弱口令永远滴神!!!
未授权测试是违法的哦!😂
0x06 hyck表哥的知识星球-欢迎大表哥们前来交流讨论
