看我如何日挂壁
前言
在某一次玩穿越某火线游戏中,把把遇到外挂,踢又踢不掉,打又打不过太难了(你可以想象你在刀战中遇到,一个手拿5米尼泊尔,脚踩无敌风火轮的玩家,边跳舞,边用着5米长的尼泊尔产生的刀气,在十米开外就杀了你,头上还顶一个QQ群。),于是就有了接下来的操作。
发卡简介
发卡网是一种虚拟商品平台销售模式,发卡网才开始是对于一款新的游戏发送激活码,内测码 等。因为,互联网发展到今慢慢的演变成了,外挂卡密,QQ号,微信号,等一切虚拟化商品的销售,演变成了,一种灰色产业链。
ZHIYU 发卡是最近比较流行的商业发卡CMS,占到总发卡平台的50%以上,由thinkphp5.0.11开发写成的一套cms。
目前市面上大概存在两个版本:
第一版github有的开源代码。地址:https://github.com/jzfan/fa-ka
第二版是修复了第一版存在的漏洞。目前没找到开源的代码,可能某些源码平台上会有第二版的代码。
开始
首先通过外挂选手昵称中的留下的QQ群相关信息,成功打入内部。
很是嚣张。打开购买连接https://xxxxxx.cn/links/2BC7D7xxxxDD4375E
我们直接访问首页看看。
成交次数上万次。商户800多个。
好,确定是ZHIYU发卡,然后去github上搜索了一下。直接搜索到他的开源源码。
简单审计他的源码之后并未发有用的漏洞(主要是我太菜了)。突然看到这个。config.php 日志设置 type =>file 说明开启日志记录。
而thinkphp5的日志路径一般是这种格式的 runtime/log/202008/01.log,看他日志级别,应该会存有大量敏感信息。可能会有我们想要的后台账号密码等信息。我们直接访问。
然而并不存在(难受),之后经过简单判断,发现他是经过ZHIYU发卡二次开的一个站。把他第一版存在的各种问题都给修复了一遍。
这就不好办了。我们只能想办法搞到他二次开发的源码。经过各大引擎尝试搜索。并没有找到他的源码。(点一颗烟理理头绪)。心里默念渗透三字经。
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录。。。唠偏了,那我就找找旁站吧。
他本站并没有存在旁站。没关系。通过fofa关键子。批量搜素
好家伙还挺多。经过长时间筛选,筛选出几个有旁站的ZHIYU发卡二次开发的站了。
然后其中一个有个小片片站(哪种小片片你们就自己悟吧)。
maccms站(后续操作就简单形容一下吧,打码太烦了),然后掏出日常渗透大法。一套操作行云流水。
成功getshell。
最新宝塔搭建 PHP 环境 7.1,disable_functions全部禁用。
然后我们直接可通过PHP7 GC 漏洞进行绕过,直接上蚂剑插件(disable_functions),打包源码审计。
然后过了一遍之后也没什么发现。倒是又看到几个加密文件。
这种站可能是在某些源码站,进行漏洞修复之后又给加上后门了。然后找各种PHP解密的站的站长。他们也都说这种加密解不开。
那我们就接着看,通过目录对比发现多了几个文件夹。
看了一下codepay发先是新增加了好多功能。然后看到了这个。
妥妥的大注入。
单引号测试
然后搞起。之后的操作就懒得上了。需要打码的太多。数据库权限也不是dba,后台搞半天也没有getshell 直接上结果图吧。
最后
完