【渗透技术】一个渗透测试工具人是怎样操作的

【渗透技术】一个渗透测试工具人是怎样操作的 2022-07-22 927

一、前言

朋友给了我一个授权的站点，让我帮忙测试，并记录整体流程。从主站测试无果。通过信息收集，发现服务器还有一个疑似测试使用的旁站。在GitHub上找到旁站源码，通过审计发现一个任意文件读取漏洞。读取数据库配置文件，连接数据库，发现主站的管理员账号密码，最终getshell。

二、主站测试

前台为登录页面：随手试了一下后台路径Admin，发现路径没改，而且登录的提示报错可以枚举用户名，可知管理员账号就是Admin：

.查看登录的请求包密码，发现没有经过加密，那就随手爆破一波碰碰运气——不出意外没有成功：随手输入一个路径，看到报错信息，可以知道框架是Thinkphp，而且是有rce的版本：拿起Payload一通乱打，发现没反应，应该是漏洞被修复了。随后注册账号，登录之后随便点了几个功能，都没什么可以利用的地方。这套模板之前是有很多漏洞的，但是随着后面慢慢更新，这些漏洞基本都被修复了。

三、旁站测试

既然主站没办法直接打，就转变一下思路，老老实实从信息收集开始。找到一个旁站，Onethink，没有什么数据，看着像是测试用的：后台路径依旧没改，Admin.php，不过也进不去，没什么用：这套框架已经出了很久，也停更了很久。搜索了一下，似乎有sql注入漏洞和缓存文件getshell，但无法复现，可能因为版本不同。之后又在Github搜了一下，可以找到源码，干脆自己动手，丰衣足食。下载完打开代码，随便找几个文件拼接路径，测试一下是不是同样的代码。确认完后开始看代码，先直接全局搜索，各种敏感函数都搜一遍，发现有call_user_func_array：从第一个开始看，iswaf.php文件，call_user_func_array在execute方法里，代码如下：

functionexecute($function,$args = ,$path = extensions) {
          
   
$function = basename($function);
$path= basename($path);
self::$model = $function;
if(file_exists(iswaf_root.$path./.$function..php)) {
          
   
include_once iswaf_root.$path./.$function..php;
$classname = plus_.$function;
$class = new $classname;
self::$models[] = $function;
if(!is_array($args)) $args = array($args);
$a = call_user_func_array(array($class, $function),$args);
self::debuginfo($function);
return $a;
}
}

追踪execute方法，有个runapi方法调用，代码如下：

function runapi() {
          
   
if(isset($_POST[action]) && isset($_POST[args]) &&($_POST[key] == md5(iswaf_connenct_key) || self::$mode == debug)){
          
   
$get[args] =unserialize(self::authcode($_POST[args],DECODE));
$get[function] = $_POST[action];
if($get[function]) {
          
   
if(!isset($_GET[debug]) &&!isset($_GET[key]) && $_GET[key] !==md5(iswaf_connenct_key)) {
          
   
echoself::authcode(self::execute($get[function],$get[args],apis),ENCODE);
}else{
          
   
print_r(unserialize(self::execute($get[function],$get[args],apis)));
}
exit;
}
}
}

那么下一步要看一下怎么调用这个runapi方法。runapi方法属于iswaf类，而在iswaf类内有一行代码直接调用了这个方法，iswaf文件在最后会new一个对象且调用到那个方法：