基于ThinkPHP的2个CMS后台GetShell利用

一大帮水军正在来袭......


JYmusic是Php+Mysql开发的一款开源的跨平台音乐管理系统,采用国内最优秀php框架thinkphp。程序完全免费,稳定,易于扩展且具有超强大负载能力,完全可以满足音乐、DJ、音乐分享、音乐资讯站等使用。

先看一下管理员登录页面的源代码,看到核心入口为ThinkPHP.php,找到并打开查看
admin.php

基于ThinkPHP的2个CMS后台GetShell利用_第1张图片
图片.png

发现应用缓存目录为Temp文件夹ThinkPHP.php


基于ThinkPHP的2个CMS后台GetShell利用_第2张图片
图片.png

打开Temp文件夹会发现有很多缓存文件,我们随便打开即可看看,可以发现里面的内容有点像网站配置信息,只不过是序列化后的结果

基于ThinkPHP的2个CMS后台GetShell利用_第3张图片
图片.png
基于ThinkPHP的2个CMS后台GetShell利用_第4张图片
图片.png

所以我们在后台的网站设置处插入一句话,就会被ThinkPHP写入缓存文件。而且这个缓存文件的文件名都是固定不变的,这也是导致getshell的原因。

访问后台登陆口

http://127.0.0.1/jymusic_v1.1.1/jymusic/admin.php?s=/public/login.html

用户名和密码为 admin admin


基于ThinkPHP的2个CMS后台GetShell利用_第5张图片
图片.png

添加一句话木马:

基于ThinkPHP的2个CMS后台GetShell利用_第6张图片
图片.png

成功插入后,我们来执行一下phpinfo()函数看看,菜刀也能成功连接

基于ThinkPHP的2个CMS后台GetShell利用_第7张图片
图片.png
基于ThinkPHP的2个CMS后台GetShell利用_第8张图片
图片.png

你可能感兴趣的:(基于ThinkPHP的2个CMS后台GetShell利用)