HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    技术文档

Metinfo5.3.10版本Getshell

  •   juk小乖 ·2017-10-12 16:28:17·165 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    首先看一下配置的文件include/common.inc.php
    QQ图片20161108231615.png
    发现Metinfo采用了伪全局变量的这样一个设置,那么是否会有变量覆盖之类的漏洞,grep下:
    QQ图片20161108231632.png
    0x02
    觉得login那里应该会发生点什么故事XD
    既然这样的话,看了下后台登录的地方:
    • login.php
    • login_check.php
    • login_out.php
    0x03
    一共三个文件,看一下check,既然包含了common.inc.php,那么就意味着里面存在一些可控的变量:
    QQ图片20161108231653.png
    QQ图片20161108232438.png
    果不其然,对于参数并没有初始赋值,比较开心XD
    研究了下发现有两种做法:
    0x01:知道路径的话:
    既然可以require,那么我们需要一个文件就可以执行,so,注册一下会员,看看有没有什么惊喜的东西XD
    发现可以上传图片logo:
    既然这样的话,我们可以上传一个利用phar或者zip打包的文件,从而达到RCE的目的:
    QQ图片20161108231733.png
    然后file_put_contents或者一开始就用file_put_contents拿到一个shell。
    0x02不知道路径
    貌似是不能用../去代替的,如果有师傅成功的话,求交流。
    在这种情况下,我们可以用php的伪协议去达到一些我们想达到的目的,不过allow_url_include默认是不开启的,所以也算有点鸡肋,不过CTF比赛可以用一下。
    如果allow_url_include = on,那么我们可以利用base64让后面的../失效,从而达到RCE,具体可以自己试一下:)

    165 次点击  
    收藏  转播  分享
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   228 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-7-23 06:29, Processed in 0.047280 second(s), 21 queries .