记录一次针对某诈骗网站的渗透实战

前情提要

某天我正在摸鱼，QQ上面收到某当年打比赛的队友的消息。
经过了解后事情是这样的：

正文开始

这个app网站，我们通过前期信息搜集和云悉扫描，判断出是辰光PHP客服系统
正好圈子里面有一位大神写过一个辰光CMS的审计
大佬太惨了，正好我有圈子账号，我们就一起浏览了一位圈子大神的的代码审计

部分的内容如下，想看详细的去圈子投稿看叭

意思大概就是辰光CMS存在未授权上传漏洞
我们上传的时候把文件后缀改成a.b.php就能够绕过上传（会代码审计的大佬太厉害了，可以去支持一下这位写文章的大佬）
我们验证一下
访问如下路径，如果路径存在就是存在这个未授权上传漏洞

我们现在能够确定，确实存在未授权上传漏洞

但是我们现在有个问题就是，就是在这个app网站上没有找到有上传点怎么办呢，我们就只好请教大佬，大佬给我们说可以自己写一个dom代码进行替换然后上传

具体代码如下：

然后我们就可以通过替换dom的方式构造一个自己的上传点，然后去上传一个php文件

选择一个文件，然后进行抓包修改文件为a.b.php
先上传一个测试的php文件

上传成功，很激动啊
我们然后直接上传一句话木马，链接webshell

然后就是上传cmd.exe准备一顿操作，结果发现这个是Linux服务器

并且无法执行linux命令，可能是我太菜了也没找到原因
这时我想到一个骚操作
我们可以尝试创建一个php文件，然后里面的内容替换为大马文件，通过大马里面的nc反弹，反弹到我们的kali攻击机上去
一开始我们发现创建不了php文件，最后找到原因是这个php的文件名是十个随机生成的数字，我们随便写了个数字，里面粘贴上大马的源码

太难顶了

没办法只能先放弃提权去找config文件，找了半天也没找到什么东西，正当郁闷的时候，我们在config的同级目录下找到一个database文件，这个目录名就很有趣
点开一看

终于拿到了数据库的用户名和密码，激动的心
但是我们发现这个密码好像和我们平时见到的不一样


要吐了，我们只能赌一下是不是没加密

结果很显然，是我们想多了
没办法我们只能继续看看配置文件里面有没有加密方法
浏览到最后，我们看到了一个客服安装，打开一看是淘宝上面买的宝塔的CMS安装。

对于这里为什么会出现宝塔cms我也是有点懵，但是没办法死马当做活马医，查查试试再说
我们开始上网搜索宝塔的密码加密方法
最后只找到一个网站，上面介绍说这个是root密码，至于加密方法没有告诉我们（估计肯定是特殊加密）
磨了半个小时还是没有找到密码的加密算法，然后我就去处理别的事情了
最后应该是大佬爆破出了数据库密码，后续的wj调查或者什么我就没有参与了，

尾言

本文结束，操作过程中越来越觉得自己菜，不过能和大佬一起学习还是非常棒的。