【网络安全】记一次挖洞的日常

前言：上个月月初开始，在那些项目结束之后进入了挖洞时期，每天的日常工作就是挖洞，除非有临时的项目才会停下，最近在整理报告，发现了这个站，还是挺有意思的。

信息收集

从 fofa 上找到了这个站点，叫做 fastadmin，是基于 Thinkphp5 和 bootstrap 开发的后台框架，常规思路找一下后台，根据经验，没意外的话 php 的站点基本都是根路径后加个 admin 就可以找到了

getshell

常规手段弱口令先打一波，不行再试试 SQL 注入弱口令 admin/123456 成功进入后台

因为结合了 tp5 框架，想到可能可以用 tp5 的 RCE 直接命令执行，再利用 file_put_contents 写入 shell，就直接来试试

没有成功...

应该是因为不是纯 tp5 框架二次开发的，所以打不通，而且 tp5 的 RCE 洞网上分析文章到处飞，估计开发应该也已经修掉了，那就只能另外找口子了

翻了一翻可以上传文件的点很多，试了其中一个，分类管理处可以添加品牌，并且有两个上传的点

尝试上传一句话，直接以 php 结尾，上传失败，常规绕过手段，修改 content-type 为 image/png,成功上传

shell 传上去就好办了，直接命令执行列一下目录，不出意外失败了，应该是禁用了命令执行函数

看一下 phpinfo，发现存在fpm/fastcgi，可以借助这个点绕过disable_function，达到命令执行的目的，再看一下

disable_functions里禁用的函数方法，扫了一眼我常用的都在里面了，就不细看了，想办法绕过就完事了

再绕之前先用蚁剑连接一下，可以翻目录，那就不要改马来绕过目录翻阅限制了，先找到 php-fpm 配置文件的位置，从前面可以知道 php 是 7.2 版本的，这台服务器上有好几个版本的 php

上图可以看到监听地址为/tmp/php-cgi-72.sock,由于此处的 listen 并不是一个具体的端口号，没有办法使用远程攻击 tcp 模式的 php-fpm 来执行命令，也没办法使用 SSRF 结合 Gopher 协议攻击本地的 php-fpm，因为两种攻击手法都是利用 tcp 模式，那么只剩下最后一种利用手段了

攻击 unix 套接字模式下的 php-fpm，unix 类似不同进程通过读取和写入/run/php/php7.3-fpm.sock来进行通信，必须在同一环境下,通过读取/run/php/php7.3-fpm.sock来进行通信,没办法进行远程攻击

直接利用蚁剑中的插件，找到 sock 文件的绝对路径，成功上传

成功上传了一个.antoproxy.php文件到 shell 所在的目录下,修改一下 shell 的连接地址，默认密码为 ant

并没有成功，暂不清楚是什么原因，打 php-fpm 这条路失败了，看来需要换个思路了

想起了之前比赛用过的利用 UAF 脚本来绕过 disable_funtion,可以从 Github 上对应的地址下载脚本进行手动上传，也可以用蚁剑里的插件直接绕过，这次选择了Backtrace UAF,该漏洞利用在 debug_backtrace()函数中使用了两年的一个 bug。我们可以诱使它返回对已被破坏的变量的引用，从而导致释放后使用漏洞

由于涉及 pwn 方面知识，web 狗就不深入研究了，同样直接利用插件，成功执行命令

到这里这个站就差不多了，也不算是特别难，想到了对应的点就拿下了

后记

2021最新整理网络安全\渗透测试/安全学习（全套视频、大厂面经、精品手册、必备工具包）一>戳我拿<一

在整理报告的时候重新看了一下这个站，发现了一个最致命的问题，web 管理界面直接给了一个文件管理的功能，能任意文件进行上传，这不是能进后台就能拿 shell 么，翻了翻目录还有一些别的站搭在这个服务器上，心真大啊...