Z-Blog后台getshell

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

0x00 环境部署

打开phpstudy

安装

搭建成功

0x01下载主题

在博客的主题板块是支持自己上传主题的,然而主题里面又有一些php的代码,这样我们就可以在主题里面加入php的木马联合主题一起上传就可以拿下shell

下载连接

是一个ZBA文件

0x02 主题分析

打开查看

<file><path>aymFreeFive/scripts/cmtv1.6.js</path><stream>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</stream></file>

从上面的文件可以看出

<path></path>中的内容是文件的路径
<stream>></stream>中的内容是文件内容 而内容是被编码过后的 看起来像是base64编码

通过解码文件中的内容就可以还原出代码

zbp.plugin.unbind("comment.reply.start", "system")
zbp.plugin.on("comment.reply.start", "aymFreeFive", function(id) {
  var i = id
  $("#inpRevID").val(i)
  var frm = $('#comment')
  var cancel = $("#cancel-reply")

  frm.before($("<div id='temp-frm' style='display:none'>")).addClass("reply-frm")
  $('#AjaxComment' + i).before(frm)

  cancel.show().click(function() {
    var temp = $('#temp-frm')
    $("#inpRevID").val(0)
    if (!temp.length || !frm.length) return
    temp.before(frm)
    temp.remove()
    $(this).hide()
    frm.removeClass("reply-frm")
    return false
  })
  try {
    $('#txaArticle').focus()
  } catch (e) {

  }
  return false
})

zbp.plugin.on("comment.get", "aymFreeFive", function (logid, page) {
  $('span.commentspage').html("Waiting...")
})

zbp.plugin.on("comment.got", "aymFreeFive", function () {
  $("#cancel-reply").click()
})

zbp.plugin.on("comment.post.success", "aymFreeFive", function () {
  $("#cancel-reply").click()
})

0x03 构造shell

上传抓取数据包

成功上传

上传路径在/zb_users/theme/aymFreeFive

访问 :http://192.168.2.101/zb_users/theme/aymFreeFive/shell.php

0x04 连接shell

Z-Blog后台getshell的更多相关文章

  1. 16.Tomcat弱口令 && 后台getshell漏洞

    Tomcat7+ 弱口令 && 后台getshell漏洞 Tomcat版本:8.0 环境说明 Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下.其中, ...

  2. phpmyadmin4.8.1后台getshell

    phpmyadmin4.8.1后台getshell 包含文件进行getshell 姿势: ① 建立数据库的,新建表,字段名为一句话木马. 会生成对应的数据库文件,相应文件的路径查看 select @@ ...

  3. 帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086)

    帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086) 一.漏洞描述 EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过 ...

  4. 网站后台getshell

    phpmyadmin后台Getshell 获取 web 绝对路径 select @@basedir; 检测是否有写入权限 show global variables like 'secure%' ## ...

  5. 极致CMS建站系统后台GETSHELL

    起因 正在学习代码审计 看到有人提交了一个注入https://www.cnvd.org.cn/flaw/show/CNVD-2019-42775 想试试看还有没有别的漏洞 受影响版本 v1.6.3 - ...

  6. 【漏洞复现】PHPmyadmin 4.8.1后台Getshell新姿势

    原文地址:https://mp.weixin.qq.com/s/HZcS2HdUtqz10jUEN57aog 早上看到群里在讨论一个新姿势,phpmyadmin后台getshell,不同于以往需要知道 ...

  7. Tomcat口令暴力猜解&&后台getshell

    Tomcat环境搭建 windows系统xampp搭建tomcat linux yum搭建tomcat 修改tomcat目录下的conf/tomcat-users.xml文件开启管理后台口令认证 &l ...

  8. Opencart 后台getshell

    朋友实战中遇到的,帮忙看后台getshell. 修改日志文件,但是奈何找不到warning这类等级的错误,没办法控制写入的内容,通过sql报错能写入了,但是尖括号却会被实体,使用16进制一样会实体.. ...

  9. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  10. 【代码审计】后台Getshell的两种常规姿势

    0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作. 这里结合代码实例介绍白盒Ge ...

随机推荐

  1. android 代码分析

    1.@Override注解 @Override 注解是用来指定方法重写的,只能修饰方法并且只能用于方法重写,不能修饰其它的元素. 作用是告诉编译器检查这个方法,保证父类要包含一个被该方法重写的方法,否 ...

  2. java学习之SpringMVC拦截器开发

    0x00前言 springmvc的拦截器类似于Selvet的Filter,但是所属的操作又不一样 Spring MVC 提供了 Interceptor 拦截器机制,用于请求的预处理和后处理,也就是增强 ...

  3. 【深入浅出 Yarn 架构与实现】3-1 Yarn Application 流程与编写方法

    本篇学习 Yarn Application 编写方法,将带你更清楚的了解一个任务是如何提交到 Yarn ,在运行中的交互和任务停止的过程.通过了解整个任务的运行流程,帮你更好的理解 Yarn 运作方式 ...

  4. C++初阶(运算符重载汇总+实例)

    运算重载符 概念: 运算符重载是具有特殊函数名的函数,也具有其返回值类型,函数名字以及参数列表,其返回值类型与参数列表与普通的函数类似. 函数原型: 返回值 operator操作符(参数列表) 注意: ...

  5. 12、求Sn = a + aa + aaa + aaaa + ....其中a为一个数字,一共有n项。a和n由用户键盘输入。

    /* 求Sn = a + aa + aaa + aaaa + ....其中a为一个数字,一共有n项.a和n由用户键盘输入. */ #include <stdio.h> #include & ...

  6. Spring学习笔记 - 第一章 - IoC(控制反转)、IoC容器、Bean的实例化与生命周期、DI(依赖注入)

    Spring 学习笔记全系列传送门: 目录 1.学习概述 2.Spring相关概念 2.1 Spring概述 2.1.1 Spring能做的工作 2.1.2 重点学习的内容 2.1.3 Spring发 ...

  7. (工具) TCMalloc笔记

    下载及编译 wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.9.1/gperftools-2. ...

  8. (C++) C++ template笔记 -- template关键字及typename关键字

    在调用C++ template函数时,有时候语法会存在歧义. 调用函数时,使用 obj.template func<...>() 形式的语法,避免歧义: 调用类型时,使用嵌入子类型时,使用 ...

  9. 使用lamdba查询datatable中的一个值或者单元格

    首先创建一个datatable,结构简单的分为两列 Datatable dt=new Datatable(); dt.Columns("code"); dt.Columns(&qu ...

  10. ES文件浏览器局域网传输文件分析

    软件下载链接 1.前言 我之前从手机上传输到电脑上一些apk进行分析,都是使用es文件浏览器这款软件获取 app,传输方面使用QQ,这样很麻烦,走外网流量暂且不提,总是感觉浪费掉了局域网这个环境.简单 ...