FastAdmin框架渗透测试实战教学文档

1. 信息收集阶段

1.1 目标识别

• 目标系统：FastAdmin后台框架
• 技术栈：基于ThinkPHP5和Bootstrap开发
• 发现方式：通过FOFA搜索引擎识别

1.2 后台定位

• 常规后台路径：/admin (PHP站点的常见后台入口)
• 验证方法：直接访问http://target.com/admin

2. 初始访问

2.1 认证绕过

• 尝试弱口令组合：
  • admin/123456 (成功案例)
  • 其他常见组合：admin/admin, admin/password, admin/12345678

2.2 ThinkPHP5 RCE尝试

• 尝试利用ThinkPHP5的远程代码执行漏洞
• 失败原因分析：
  • 非纯TP5框架二次开发
  • 可能已修复已知漏洞

3. 文件上传漏洞利用

3.1 上传点发现

• 功能模块：分类管理处 > 添加品牌
• 存在两个文件上传点

3.2 上传绕过技术

• 初始尝试：直接上传PHP文件失败
• 绕过方法：
  • 修改Content-Type为image/png
  • 保持文件内容为一句话木马
  • 成功上传Webshell

4. 权限提升与绕过限制

4.1 初始限制

• 命令执行函数被禁用
• 查看phpinfo()确认：
  • PHP版本：7.2
  • 存在FPM/FastCGI
  • disable_functions包含常用命令执行函数

4.2 PHP-FPM利用尝试

1. 识别监听方式：

   • Unix套接字模式：/tmp/php-cgi-72.sock
   • 非TCP模式，无法远程攻击

2. 攻击方法尝试：

   • 利用蚁剑插件上传.antoproxy.php
   • 修改连接地址尝试利用
   • 最终失败原因未明确

4.3 UAF绕过技术

• 使用Backtrace UAF漏洞：
  • 利用debug_backtrace()函数的bug
  • 导致释放后使用(UAF)漏洞
• 实现方式：
  • 从GitHub下载UAF脚本手动上传
  • 或使用蚁剑插件直接绕过
• 成功实现命令执行

5. 致命漏洞发现

• 后台直接提供文件管理功能：
  • 可任意文件上传
  • 导致进入后台即可获取Webshell
• 服务器存在多站点共存情况

6. 防御建议

6.1 认证安全

• 禁用默认弱口令
• 实施强密码策略
• 启用多因素认证

6.2 文件上传防护

• 严格限制上传文件类型
• 文件内容校验而不仅是扩展名
• 上传文件隔离存储

6.3 服务器配置

• 及时更新框架和组件
• 分离不同站点环境
• 限制后台文件管理功能权限

6.4 PHP安全配置

• 谨慎设置disable_functions
• 监控异常进程
• 限制PHP-FPM的访问权限

7. 总结

本案例展示了从信息收集到最终获取系统权限的完整渗透流程，重点包括：

1. 弱口令利用
2. 文件上传绕过
3. PHP-FPM利用尝试
4. UAF漏洞绕过disable_functions
5. 后台文件管理功能滥用

渗透过程中需要灵活应对各种防护措施，同时提醒开发人员需要全面考虑系统安全，不放过任何潜在的漏洞点。