实战 | 记一次无聊闲逛到某设备RCE

原创 Conan 小黑说安全 2024-05-09 06:00

0x01 前言

无聊刷吐司，看到一个投稿文章，不让看，但可以看到fofa语句。

小挖一下，
很快黑盒到任意文件读取，但黑哥说不是前台rce都不算洞。

扩大利用，读了一堆乱七八糟，都没啥用。
设
备的后台管理是thinkphp没有rce，
想获取web绝对路径，跑了web日志，各种尝试报错都不行。

最后看到响应头是lighttpd。

简单一百度。

原来是/etc/lighttpd/lighttpd.conf，读之。

拿到web路径 /usr/local/boa/www/，
期间读了thinkphp的dat
abase.php，全网没有对外开放的mysql，
application下读了一点啥用也没有，不多bb了。

换路，准备从设备入手，抓了一下登录。

不是cgibin 而是这种什么/main/xxx，
尝试了一下，还真读到了。

丢ida，一眼sink。

参数可控。

控制v5值为219进入sink点。

构造请求，成功rce。