一、這次做的目標(biāo)站點(diǎn)是一個某XX站點(diǎn)，通過前期的信息收集，可以發(fā)現(xiàn)該站點(diǎn)是由寶塔(一般根服務(wù)器開放端口888、8888和報(bào)錯界面判定)+ShuipfCMS框架搭建的

端口信息

后臺

二、默認(rèn)的ShuipfCMS系統(tǒng)后臺訪問http://www.xxx.com/admin/會自動跳轉(zhuǎn)到后臺，但是這個站點(diǎn)感覺是被二次開發(fā)過的，站點(diǎn)后臺和前端頁面不在同一個子域名下，該后臺還是通過收集子域名得到的，訪問某xxx.xxx.com會自動跳轉(zhuǎn)到后臺登錄頁面。

三、這里想著嘗試?yán)@過驗(yàn)證碼來對后臺用戶名密碼進(jìn)行密碼修改，可是失敗了，于是就手動嘗試了幾個弱口令，當(dāng)輸入admin/admin123竟然進(jìn)去了，在這里我只想說運(yùn)氣太好了。

登錄

四、尋找后臺上傳點(diǎn)，友情鏈接，編輯文章處嘗試了一下上傳，發(fā)現(xiàn)都是使用白名單對文件后綴過濾

上傳

于是繼續(xù)找上傳點(diǎn)，最后在界面-模板風(fēng)格-模板管理功能點(diǎn)上找到了一個任意文件上傳的地方

模板

webshell

五、使用鏈接工具鏈接webshell，但是無法使用命令行和查看其他目錄文件

這里猜想

應(yīng)該是對用戶訪問目錄權(quán)限進(jìn)行了限制和php，disable_functions禁用了一些函數(shù)，寫入php測試語句查看禁用了哪些函數(shù)

1、Bypass disable_function

php測試語句:<?php?phpinfo();?>?禁用的函數(shù)：passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

phpinfo

嘗試?yán)@過disable_functions,在這里使用了很多方法沒有繞過，最后使用蟻劍一個大佬寫的繞過disable_functions插件才能繞過的，具體操作步驟如下：

選擇Fastcgi/PHP-FPM模塊，輸入FPM/FCGI模塊絕對路徑，其他默認(rèn)即可

點(diǎn)擊開始，會在存在后門文件的目錄下.antproxy.php文件

用蟻劍鏈接這個文件，密碼為你之前上傳一句話木馬的密碼。

2、Bypass 目錄限制

???????

在webshell后門文件目錄下創(chuàng)建一個名為.user.ini的文件，即可訪問其他目錄內(nèi)容如下：open_basedir=:/

六、這種方法只能在幾分鐘內(nèi)可以使用cmd，之后就不能使用，具體原因我也不太清楚，所以我們要使用公網(wǎng)的一臺VPS服務(wù)器，用來反彈shell，后續(xù)的步驟全都在VPS上操作。

注：后續(xù)嘗試使用臟牛，SUID，數(shù)據(jù)庫等提權(quán)方式都是以失敗告終，最后還是放棄了，可惜沒有拿到root權(quán)限

總結(jié)

以上是生活随笔為你收集整理的实战绕过宝塔PHP disable_function 限制getshell的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。