實驗平臺:i春秋
Step 0
實驗環境
操作機:Windows XP [172.16.11.2]
實驗工具:中國菜刀
小i提示:
在本次實驗中,請注意實驗工具、實驗文件存放路徑,不同的文件路徑可能會出現不一樣的實驗結果。
在實驗環境中無法連接互聯網,請使用您本地的網絡環境。
Step 1
XDCMS
首先利用注入漏洞獲取用戶名和密碼;打開瀏覽器,輸入網址,打開網站首頁,點擊頁面上方的 [ 免費註冊 ];
進入註冊頁面後,依次填入表單內容;
在提交之前,配置瀏覽器代理,操作步驟:[ 工具 ]-->[ Internet選項 ]-->[ 連接 ]-->[ 局域網設置 ]:
打開神器進行抓包改包;工具路徑:C:\Tools\抓包改包\Burp Suite\
打開神器後,回到瀏覽器頁面,點擊 [ 註冊 ];
此時,BP抓包成功:
注意POST參數中的username值,在該值後面加入exp:
然後點擊 [ Action ] 或者右鍵,在彈出的菜單中選擇 [ Send to Repeater ]:
待 [ Repeater ] 標籤變色後,選擇該選項卡,點擊左側請求頁面的 [ GO ],右側響應頁面會爆出用戶名和密碼MD5值:
把MD5值 [ 1be20cb2907edca1e4f55f375a5663f1] 扔到解密網站上,得到結果,順便看到了加密方式:
Step 2
打開後臺登錄界面,準備掛馬,後臺用路徑掃描工具一掃就出來了,這裏就不截圖了;
輸入得到的用戶名和密碼 [ xdcms121/xdcms212 ],成功登錄後臺:
依次進入 [ 模塊管理]-->[ 幻燈片管理 ]-->[ 管理幻燈 ]-->[編輯 ];
進入編輯頁面後,準備上傳木馬;在系統自帶的圖片中,隨便選一張:
選一張圖片複製到桌面上,然後新建一個文本文檔,裏面寫入一句話木馬:
(注意:一句話之前加空行)
然後用cmd下的copy命令,將這兩個文件合併成一個圖片文件:
Copy Sunset.jpg/b + muma.txt/a result.jpg /y
用記事本打開合成的圖片文件,拉到最下面,可以看到木馬已經加進去了;
回到頁面,點擊上傳幻燈片圖片,將製作的木馬圖片上傳上去:
把圖片路徑複製下來,點擊 [ 保存 ];
Step 3
利用文件包含連接菜刀;
工具:中國菜刀,路徑:C:\Tools\webshell\中國菜刀
點擊右鍵,選擇 [ 添加 ],首先我們在地址欄中輸入錯誤的路徑,看看會出現什麼結果:
輸入完成後,點擊 [ 添加 ];
雙擊後,顯示如下結果,注意圖示:
我們發現,後面自動添加了/index.php,這樣路徑肯定是錯的,用%00截斷後面的附加值即可;在原路徑的基礎上,尾部添加%00即可;
這次成功進入,得到旗標。
最後說一下菜刀路徑中的幾個注意點:
[url]http://www.test.ichunqiu/index.php?m=../../uploadfile/image/2017........5030.jpg%00[/url]
路徑中的 m=? c=? f=? 這三個參數分別表示:模塊,類,方法;具體位置在/system/function/global.inc.php文件中:
//接收參數
$m=safe_replace(safe_html(isset($_GET["m"]))) ? safe_replace(safe_html($_GET["m"])) : "content";
$c=safe_replace(safe_html(isset($_GET["c"]))) ? safe_replace(safe_html($_GET["c"])) : "index";
$f=safe_replace(safe_html(isset($_GET["f"]))) ? safe_replace(safe_html($_GET["f"])) : "init";
//判斷模塊是否存在
if(!file_exists(MOD_PATH.$m)){
showmsg(C('module_not_exist'),'/');
}
//判斷類文件是否存在
if(!file_exists(MOD_PATH.$m."/".$c.".php")){
showmsg(C('class_not_exist'),'/');
}
include MOD_PATH.$m."/".$c.".php"; //調用類
//判斷類是否存在
if(!class_exists($c)){
showmsg(C('class_not_exist'),'/');
}
$p=new $c(); //實例化
$p->$f(); //調用方法
global.inc.php文件位置在根目錄/system/function下,uploadfile直接在根目錄下,所以得向上翻兩級,也就是../../
--END--
ps:部分知識點的內容轉自網絡;路漫漫其修遠兮,感謝小盆友們的幫助;
Dareand the world always yields.