HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: juk小乖
查看: 46|回复: 0

more +随机图赏Gallery

2017年中旬WEB渗透系列课程-26Mysql下UDF提权2017年中旬WEB渗透系列课程-26Mysql下UDF提权
2017年中旬WEB渗透系列课程-25基于php参数开关的提权2017年中旬WEB渗透系列课程-25基于php参数开关的提权
2017年中旬WEB渗透系列课程-24提权分类2017年中旬WEB渗透系列课程-24提权分类
2017年中旬WEB渗透系列课程-23提权认识2017年中旬WEB渗透系列课程-23提权认识
2017年中旬WEB渗透系列课程-22CMS相关2017年中旬WEB渗透系列课程-22CMS相关
2017年中旬WEB渗透系列课程-21webshell免杀相关问题2017年中旬WEB渗透系列课程-21webshell免杀相关问题
2017年中旬WEB渗透系列课程-20关于指令执行2017年中旬WEB渗透系列课程-20关于指令执行
2017年中旬WEB渗透系列课程-19文件包含与目录遍历2017年中旬WEB渗透系列课程-19文件包含与目录遍历
2017年中旬WEB渗透系列课程-18上传绕过方法演示2017年中旬WEB渗透系列课程-18上传绕过方法演示
2017年中旬WEB渗透系列课程-17了解上传检测方式2017年中旬WEB渗透系列课程-17了解上传检测方式

Metinfo5.3.10版本Getshell

[复制链接]
juk小乖 发表于 7 天前 | 显示全部楼层 |阅读模式
查看: 46|回复: 0

马上注册,加入HACK80!与我们一起交流。

正式会员需要 登录 才可以下载或查看,没有帐号?立即注册

x
首先看一下配置的文件include/common.inc.php
QQ图片20161108231615.png
发现Metinfo采用了伪全局变量的这样一个设置,那么是否会有变量覆盖之类的漏洞,grep下:
QQ图片20161108231632.png
0x02
觉得login那里应该会发生点什么故事XD
既然这样的话,看了下后台登录的地方:
  • login.php
  • login_check.php
  • login_out.php
0x03
一共三个文件,看一下check,既然包含了common.inc.php,那么就意味着里面存在一些可控的变量:
QQ图片20161108231653.png
QQ图片20161108232438.png
果不其然,对于参数并没有初始赋值,比较开心XD
研究了下发现有两种做法:
0x01:知道路径的话:
既然可以require,那么我们需要一个文件就可以执行,so,注册一下会员,看看有没有什么惊喜的东西XD
发现可以上传图片logo:
既然这样的话,我们可以上传一个利用phar或者zip打包的文件,从而达到RCE的目的:
QQ图片20161108231733.png
然后file_put_contents或者一开始就用file_put_contents拿到一个shell。
0x02不知道路径
貌似是不能用../去代替的,如果有师傅成功的话,求交流。
在这种情况下,我们可以用php的伪协议去达到一些我们想达到的目的,不过allow_url_include默认是不开启的,所以也算有点鸡肋,不过CTF比赛可以用一下。
如果allow_url_include = on,那么我们可以利用base64让后面的../失效,从而达到RCE,具体可以自己试一下:)

正式会员需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2017-10-19 15:09 , Processed in 0.058734 second(s), 30 queries .

Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc.