shopxo是一款開源的企業級商城系統,基於thinkphp5框架開發。這幾天做了“[GKCTF2020]老八小超市兒”這道題,學到了後臺獲取shell的一個技巧,所以在這裏復現一下。
提供一個搜索語法:title=“ShopXO企業級B2C電商系統提供商”(不要幹壞事哦)
滲透測試復現
頁面來自buuctf——[GKCTF2020]老八小超市兒。ShopXO全版本getshell流程走起:
進入題目(網上隨便可以通過搜索找到一個使用shopxo搭建的演示站)
別的漏洞沒找到,嘗試訪問默認登陸後臺,後臺頁面爲/admin.php:
使用shopxo的默認賬號密碼進行登錄:賬號:admin 密碼:shopxo
成功進入後臺
接下來就是getshell的騷方法了:
在後臺找到 應用中心-應用商店-主題,然後下載默認主題。
隨便找一個免費的下載。下載下來的主題是一個zip安裝包,然後把你的webshell放到壓縮包的default\_static_ 目錄下,如下圖
回到網頁上,找到 網站管理-主題管理-主題安裝(然後選擇你加入webshell後的主題壓縮包進行上傳)
上傳成功後,在當前主題中可以看到
這裏查看主頁上的當前主題就能知道文件的位置
我們訪問一下試試webshell是否成功:
http://214cad3b-6ae5-4225-b596-ca2a35c082a3.node3.buuoj.cn/public/static/index/default/hack.php
成功:
用蟻劍連接webshell
發現根目錄有flag,打開看看
發現flag是假的。並說flag在/root目錄,但是/root目錄沒權限,打不開。
查看/flag.hint:
一臉懵逼。
再看看根目錄裏那個紅的auto.sh:
發現每隔60秒執行一下/var/mail/makeflaghint.py文件,我們去看看這個makeflaghint.py文件:
代碼的作用是,打開/flag.hint文件,並寫入時間,怪不得。。。並且有root的執行權限,能每60秒刷新hint文件。
那就好說了,直接把root目錄下的flag寫到flag.hint中不就好了,增加兩條語句s=open("/root/flag","r").read() f.write(s)
等個不到一分鐘再去看下flag.hint就有flag啦
切勿進行違法行爲,遵守網絡安全法。