PHPMyWind5.4存储XSS后续getshell提权

0x0 前言

通过留言处的xss，我们可以得到管理员的cookie，进而登陆后台：

https://www.cnblogs.com/Rain99-/p/10701769.html

现在要从后台入手，进而getshell，提权

0x1 文件上传getshell

1. 修改上传类型

已经成功登陆了后台，管理员权限相对普通用户要高的多，所以可设置的地方也会变多。利用这些设置，可以进一步的尝试获取服务器的权限。

打开网站系统管理-网站信息配置-附件设置，我们可以看见后台可设置上传图片的类型，在上传图片类型后面加上|php |,注意php后面有空格，提交。后台会保存变量并更新配置文件。

上传图片时，服务器会重命名并在文件名后添加后缀，空格用来截断自动添加的后缀名的。

接下来就找图片上传，打开左下角的帮助与更新功能，点击上传新文件，即进入后台的上传功能。

2.上传木马

上传一句话木马

直接上传会失败，所以需要burp抓包修改

Burp抓包后，在password.php后加上一个空格，即”password.php ”

上传成功，返回php路径

访问此路径，能访问，说明上传和访问都没问题

3.菜刀连接拿到webshell

0x2提权

在菜刀命令行界面添加管理员和管理权限

2003看提权效果

0x3 参考资料

http://www.atomsec.org/%E5%AE%89%E5%85%A8/phpmywind%E5%AD%98%E5%82%A8xss%E6%BC%8F%E6%B4%9E-cve-2017-12984/