Z-Blog后台getshell

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

0x00 环境部署

打开phpstudy

安装

搭建成功

0x01下载主题

在博客的主题板块是支持自己上传主题的,然而主题里面又有一些php的代码,这样我们就可以在主题里面加入php的木马联合主题一起上传就可以拿下shell

下载连接

是一个ZBA文件

0x02 主题分析

打开查看

<file><path>aymFreeFive/scripts/cmtv1.6.js</path><stream>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</stream></file>

从上面的文件可以看出

<path></path>中的内容是文件的路径
<stream>></stream>中的内容是文件内容 而内容是被编码过后的 看起来像是base64编码

通过解码文件中的内容就可以还原出代码

zbp.plugin.unbind("comment.reply.start", "system")
zbp.plugin.on("comment.reply.start", "aymFreeFive", function(id) {
  var i = id
  $("#inpRevID").val(i)
  var frm = $('#comment')
  var cancel = $("#cancel-reply")

  frm.before($("<div id='temp-frm' style='display:none'>")).addClass("reply-frm")
  $('#AjaxComment' + i).before(frm)

  cancel.show().click(function() {
    var temp = $('#temp-frm')
    $("#inpRevID").val(0)
    if (!temp.length || !frm.length) return
    temp.before(frm)
    temp.remove()
    $(this).hide()
    frm.removeClass("reply-frm")
    return false
  })
  try {
    $('#txaArticle').focus()
  } catch (e) {

  }
  return false
})

zbp.plugin.on("comment.get", "aymFreeFive", function (logid, page) {
  $('span.commentspage').html("Waiting...")
})

zbp.plugin.on("comment.got", "aymFreeFive", function () {
  $("#cancel-reply").click()
})

zbp.plugin.on("comment.post.success", "aymFreeFive", function () {
  $("#cancel-reply").click()
})

0x03 构造shell

上传抓取数据包

成功上传

上传路径在/zb_users/theme/aymFreeFive

访问 :http://192.168.2.101/zb_users/theme/aymFreeFive/shell.php

0x04 连接shell

Z-Blog后台getshell的更多相关文章

  1. 16.Tomcat弱口令 && 后台getshell漏洞

    Tomcat7+ 弱口令 && 后台getshell漏洞 Tomcat版本:8.0 环境说明 Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下.其中, ...

  2. phpmyadmin4.8.1后台getshell

    phpmyadmin4.8.1后台getshell 包含文件进行getshell 姿势: ① 建立数据库的,新建表,字段名为一句话木马. 会生成对应的数据库文件,相应文件的路径查看 select @@ ...

  3. 帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086)

    帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086) 一.漏洞描述 EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过 ...

  4. 网站后台getshell

    phpmyadmin后台Getshell 获取 web 绝对路径 select @@basedir; 检测是否有写入权限 show global variables like 'secure%' ## ...

  5. 极致CMS建站系统后台GETSHELL

    起因 正在学习代码审计 看到有人提交了一个注入https://www.cnvd.org.cn/flaw/show/CNVD-2019-42775 想试试看还有没有别的漏洞 受影响版本 v1.6.3 - ...

  6. 【漏洞复现】PHPmyadmin 4.8.1后台Getshell新姿势

    原文地址:https://mp.weixin.qq.com/s/HZcS2HdUtqz10jUEN57aog 早上看到群里在讨论一个新姿势,phpmyadmin后台getshell,不同于以往需要知道 ...

  7. Tomcat口令暴力猜解&&后台getshell

    Tomcat环境搭建 windows系统xampp搭建tomcat linux yum搭建tomcat 修改tomcat目录下的conf/tomcat-users.xml文件开启管理后台口令认证 &l ...

  8. Opencart 后台getshell

    朋友实战中遇到的,帮忙看后台getshell. 修改日志文件,但是奈何找不到warning这类等级的错误,没办法控制写入的内容,通过sql报错能写入了,但是尖括号却会被实体,使用16进制一样会实体.. ...

  9. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  10. 【代码审计】后台Getshell的两种常规姿势

    0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作. 这里结合代码实例介绍白盒Ge ...

随机推荐

  1. 我终于会写 Java 的定时任务了!

    前言 学过定时任务,但是我忘了,忘得一干二净,害怕,一直听别人说: 你写一个定时任务就好了. 写个定时任务让他去爬取就行了. 我不会,所以现在得补回来了,欠下的终究要还的,/(ㄒoㄒ)/~~ 定时任务 ...

  2. docker容器化业务

    1.环境准备: 设备 IP地址 作用 系统版本 mysql-master 192.168.100.213 Nginx-Web服务器 Ubuntu2004 mysql-slave 192.168.100 ...

  3. Mysql入门练习题

    1.在students表中,查询年龄大于25岁,且为男性的同学的名字和年龄 mysql> select name,age from students where age>25 and ge ...

  4. JS逆向实战2--cookie-AcwScV2加密—某招标信息网

    cookies的获取 首先拿到第一次访问原链接 拿到acw_tc的值,然后放到session中去 再用这个session再次访问原链接拿到js加载的加密的真实数据.用了一些反混淆. 最后获取这个数据中 ...

  5. adb 安装与使用

    什么是adb adb 是有个通用命令行工具 他允许您与模拟器实例或者链接的Android设备进行通信,他可为各种设备操作提供便利,比如安装和调试应用 启动adb 服务在命令行中输入adb start- ...

  6. Vue2基础知识学习

    Vue2基础知识学习 01.初识 new Vue({ el: '#root', //用于指定当前Vue实例为哪个容器服务,值通常为css选择器符 data () { return { } } }); ...

  7. webpack -- element-ui 的按需引入

    简单说明原理: 使用babel-plugin-component实现按需引入.打包.将webpack配置成多入口,保证最终打包的目录结构符合babel-plugin-component插件的要求,实现 ...

  8. 图机器学习(GML)&图神经网络(GNN)原理和代码实现(前置学习系列二)

    项目链接:https://aistudio.baidu.com/aistudio/projectdetail/4990947?contributionType=1 欢迎fork欢迎三连!文章篇幅有限, ...

  9. Java中String被称为不可变字符串的原因

    很多东西,看似可变,实际上不过是是新桃换旧符罢了. 代码: /** * String之所以被称为不可变字符串 */ static void testString(){ String str = &qu ...

  10. Byte和byte的区别

    Byte和byte的区别 背景 今天学习网络编程中,在建立Udp连接时,使用byte[]数组接收传输的数据,但是byte[]错写为Byte[],导致错误.    //接收数据:         Byt ...