本篇文章已得到警方授权
1 网站主页
![1628229185_610cce415309c942b9f8f.png!small](https://image.3001.net/images/20210806/1628229185_610cce415309c942b9f8f.png!small)
02
1 毫无技术含量的后台
bc站,顺手几个敏感目录路径打进去,看看能不能有东西出来,robots.txt,admin,login等
robots404,login都404,但是发现admin直接跳转至网站后台登录页面
![1628229263_610cce8fcb7ea50cfebca.png!small](https://image.3001.net/images/20210806/1628229263_610cce8fcb7ea50cfebca.png!small)
![1628229270_610cce961be3324aa45eb.png!small](https://image.3001.net/images/20210806/1628229270_610cce961be3324aa45eb.png!small)
首先就是经典的弱口令admin 123456等
![1628229293_610ccead8f8a929c5eed4.png!small](https://image.3001.net/images/20210806/1628229293_610ccead8f8a929c5eed4.png!small)
经典,我日站这么久,就遇到两次弱口令,弱口令走不通了,换个方法
发现admin目录下有个login.php
![1628229337_610cced95bb335da160bb.png!small](https://image.3001.net/images/20210806/1628229337_610cced95bb335da160bb.png!small)
直接访问,还是登不进去,还以为直接挖到个未授权呢,在找找其他常见的目录,御剑扫一下,看下这个文件main.php
![1628229360_610ccef053c0e078f8a8a.png!small](https://image.3001.net/images/20210806/1628229360_610ccef053c0e078f8a8a.png!small)
![1628229367_610ccef7c142ae5c7e346.png!small](https://image.3001.net/images/20210806/1628229367_610ccef7c142ae5c7e346.png!small)
发现可以直接进入后台页面 ,BUT,啥功能都用不了,说明该路还是行不通最后靠着备份文件查看密码进去了^^(我就是憨批)(备份文件不是扫出来的,是域名.zip猜出来的)
![1628229391_610ccf0f5c04d5171b55e.png!small](https://image.3001.net/images/20210806/1628229391_610ccf0f5c04d5171b55e.png!small)
好嘛,朴实无华的账号密码,登录进后台
进后台第一件事先看下流水
![1628229414_610ccf261b8d7a5a649ff.png!small](https://image.3001.net/images/20210806/1628229414_610ccf261b8d7a5a649ff.png!small)
总流水才140多万,用户总余额也才几百万,跟其他专打bc的大哥比显得好辣鸡
2 艰难的getshell
后台逛了一大圈,发现没有啥利用的点,于是还是返回原点,从前台入手
![1628229423_610ccf2f30a18b1ad5dbf.png!small](https://image.3001.net/images/20210806/1628229423_610ccf2f30a18b1ad5dbf.png!small)
进入用户界面,先四处搜寻一下
![1628229428_610ccf34e85df311c6718.png!small](https://image.3001.net/images/20210806/1628229428_610ccf34e85df311c6718.png!small)
点开充值,简单绑定一下
![1628229446_610ccf464216e6f0157e0.png!small](https://image.3001.net/images/20210806/1628229446_610ccf464216e6f0157e0.png!small)
试一下绑定邮箱,是否能直接写入马(因为我们有网站源码,所以可以直接看日志路径)
![1628229455_610ccf4ff19196a1f2225.png!small](https://image.3001.net/images/20210806/1628229455_610ccf4ff19196a1f2225.png!small)
![1628229471_610ccf5f19b4c613034a4.png!small](https://image.3001.net/images/20210806/1628229471_610ccf5f19b4c613034a4.png!small)
挺离谱的,我也没输入密码…
又是一阵漫长的搜寻过程,发现了意见反馈好像可以直接发送
![1628229490_610ccf729882dbbcaf9b6.png!small](https://image.3001.net/images/20210806/1628229490_610ccf729882dbbcaf9b6.png!small)
![1628229496_610ccf78611104fca2c77.png!small](https://image.3001.net/images/20210806/1628229496_610ccf78611104fca2c77.png!small)
随便输入一段乱码先
![1628229509_610ccf851276b0467942a.png!small](https://image.3001.net/images/20210806/1628229509_610ccf851276b0467942a.png!small)
感觉有戏
![1628229521_610ccf91559addfa443e4.png!small](https://image.3001.net/images/20210806/1628229521_610ccf91559addfa443e4.png!small)
从后台可以发现我写的这段字符串,ok直接写马,冲
![1628229527_610ccf97c6727a145b135.png!small](https://image.3001.net/images/20210806/1628229527_610ccf97c6727a145b135.png!small)
![1628229533_610ccf9d71e3a8a7d085f.png!small](https://image.3001.net/images/20210806/1628229533_610ccf9d71e3a8a7d085f.png!small)
????失败,这就离谱
我单独上传<?php zac
![1628229538_610ccfa2d891656b74463.png!small](https://image.3001.net/images/20210806/1628229538_610ccfa2d891656b74463.png!small)
还失败,看来直接过滤了<?php,这条路不通了
又是一段漫长时间的测试,发现黑盒肯定不太行了
掏出我的审计大宝贝
![1628229553_610ccfb17bc40ed5267a4.png!small](https://image.3001.net/images/20210806/1628229553_610ccfb17bc40ed5267a4.png!small)
开筛,经过漫长的时间,锁定了一个函数,upload
![1628229559_610ccfb74bd68b75e509f.png!small](https://image.3001.net/images/20210806/1628229559_610ccfb74bd68b75e509f.png!small)
文件上传最舒服,上传成功,搞到路径,直接拿shell
![1628229566_610ccfbe89eb782e987de.png!small](https://image.3001.net/images/20210806/1628229566_610ccfbe89eb782e987de.png!small)
前面定义了一大堆限制,最主要的一点
![1628229575_610ccfc7849ce698a0480.png!small](https://image.3001.net/images/20210806/1628229575_610ccfc7849ce698a0480.png!small)
可以看到,只允许上传图片,那就直接搞图片马
后面的过程就不用说了,朴实无华图片马,上传shell一条龙 (getshell不是我操作的,是我身边一个大佬拿的shell,他貌似是利用目录解析漏洞拿到的shell,具体手段我也不太清楚,我太菜了….)
![1628229581_610ccfcdbd3247c07b470.png!small](https://image.3001.net/images/20210806/1628229581_610ccfcdbd3247c07b470.png!small)
朴实无华
后记
网络上的bc网站,后台全部可以人为控制
![1628229702_610cd046df61bca830420.png!small](https://image.3001.net/images/20210806/1628229702_610cd046df61bca830420.png!small)
千万!千万!千万不要沾赌!!
开始会给你点甜头,后面就会让你万劫不复
该站点已移交警方
![1628229710_610cd04e94298c1ca3eae.png!small](https://image.3001.net/images/20210806/1628229710_610cd04e94298c1ca3eae.png!small)
个人微信:zacaq999
公众号 ZAC安全
如果本篇文章有任何意见或提议,欢迎大佬们加我微信告诉我,谢谢大佬们了
本文作者:ZAC安全, 转载请注明来自FreeBuf.COM
请登录后查看评论内容