Z-Blog后台getshell
2024-10-21 03:30:43
Z-Blog后台getshell
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
0x00 环境部署
打开phpstudy
安装
搭建成功
0x01下载主题
在博客的主题板块是支持自己上传主题的,然而主题里面又有一些php的代码,这样我们就可以在主题里面加入php的木马联合主题一起上传就可以拿下shell
是一个ZBA文件
0x02 主题分析
打开查看
<file><path>aymFreeFive/scripts/cmtv1.6.js</path><stream>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</stream></file>
从上面的文件可以看出
<path></path>中的内容是文件的路径
<stream>></stream>中的内容是文件内容 而内容是被编码过后的 看起来像是base64编码
通过解码文件中的内容就可以还原出代码
zbp.plugin.unbind("comment.reply.start", "system")
zbp.plugin.on("comment.reply.start", "aymFreeFive", function(id) {
var i = id
$("#inpRevID").val(i)
var frm = $('#comment')
var cancel = $("#cancel-reply")
frm.before($("<div id='temp-frm' style='display:none'>")).addClass("reply-frm")
$('#AjaxComment' + i).before(frm)
cancel.show().click(function() {
var temp = $('#temp-frm')
$("#inpRevID").val(0)
if (!temp.length || !frm.length) return
temp.before(frm)
temp.remove()
$(this).hide()
frm.removeClass("reply-frm")
return false
})
try {
$('#txaArticle').focus()
} catch (e) {
}
return false
})
zbp.plugin.on("comment.get", "aymFreeFive", function (logid, page) {
$('span.commentspage').html("Waiting...")
})
zbp.plugin.on("comment.got", "aymFreeFive", function () {
$("#cancel-reply").click()
})
zbp.plugin.on("comment.post.success", "aymFreeFive", function () {
$("#cancel-reply").click()
})
0x03 构造shell
上传抓取数据包
成功上传
上传路径在/zb_users/theme/aymFreeFive
下
访问 :http://192.168.2.101/zb_users/theme/aymFreeFive/shell.php
0x04 连接shell
最新文章
- NHibernate之映射文件配置说明
- mysql数据备份
- Java程序员的日常 —— 《编程思想》持有对象
- java多线程机制
- Guid vs Int
- 在VisualStudio 2012上使用MVC3出现错误的解决办法
- [转]";Windows Phone 7程序设计”完全版电子书可以免费下载了
- APP应用的发展趋势
- SQL 简单练习
- 基于visual Studio2013解决算法导论之055拓扑排序
- XSS漏洞的分类
- 多模块分布式系统的简单服务访问 - OSGI原形(.NET)
- 【原创】JQWidgets-TreeGrid 1、快速入门
- 使用spring框架处理编码问题
- [物理学与PDEs]第2章习题8 一维定常粘性不可压缩流体的求解
- MySQL数据库事务各隔离级别加锁情况--read committed &;&; MVCC
- SQL 中用户定义函数的使用方法
- 20165234 《Java程序设计》第十周课下作业
- Intel SP处理机以及AMD处理器的一些对比资料
- unity中让物体移动到鼠标点击地面任一点的位置(单击移动和双击暂停移动)并生成图标
热门文章
- 2022UUCTF--WEB
- linux 2021
- ClickHouse(10)ClickHouse合并树MergeTree家族表引擎之ReplacingMergeTree详细解析
- HDLBits答案——Verilog Language
- python面试题常用语句
- i春秋象棋
- cv2.imread opencv读取不到图片问题
- Oracle plsql Database links
- Django基础笔记5(Session)
- 【Spark】Day05-内核解析:组件、流程、部署、运行模式、通讯架构、任务调度(Stage、task级)、两种Shuffle机制、内存管理、核心组件