记一次无意的渗透测试

由于最近再写一个web漏洞扫描器，准备在fofa上找网站测试的时候，无意间看到了个标题，xx系统，

点进去一看，好家伙，这不就是我很收悉的，那个xxcms嘛（具体的忘记了）

正好通过这个网站的cms漏洞，测试下我的扫描器，结果，好家伙，这一扫，cms漏洞没扫出来源码倒是给我扫出来了，发现备份文件了

这网站的备份文件，居然放在主目录下，以域名加.tar.gz结尾

好家伙，这一拿到源码一看，审计下，发现看不来，看不了，这是一个二次开发的框架，把基本上公开的漏洞都给补了，不过数据库账号密码拿到了，不过限制了外链

代码审计这块看来是没希望了，哎，人又菜，又爱渗透，那咋办呢?

答案，当然是找大佬了，

Emmm，好像我没有大佬带我/(ㄒoㄒ)/~~

既然，没人疼，没人爱，那就搞旁站

这个应该是官网了，官网是个，月子会所的主页，进入会所，看样子好像是深圳那边比较有名的月子会所吧，我也不清楚

啥也不管先看看，这个网站怎么样？扫描器一起一波，发现是dedecms5.7
后台扫不出来
Emmm，这尼玛就烦了呀，然后再找下看有没有备份文件
一看，没有，通过上面的规律找备份文件，发现没得，

我想是不是哪里有问题，突然灵光一闪，dedecms好像有个爆绝对路径的漏洞呀，搞起，

原来，这个站点改了域名，通过原来的文件名加后缀，获取备份文件

好家伙，这一看源代码，引入眼帘的一个文件夹名字，好吸引人啊，
@)!^hssjORG$$$
这一串字符恐怖如斯啊┌(。Д。)┐

怪不得我爆破不到站点后台，这尼玛，这谁爆破的出来啊，特殊字符和大小写字母，我只能说一个字，牛，看来这个服务器应该是找人运维过，维护过吧

这次源码没啥好审计的，我没有0day

这次里面还有sql的备份，找到了admin账号密码，去头去尾，md5解密，没戏

哦豁，完蛋，又没得了，下一个

下一个网站也上一样的，dedecms5.7

不过，希望来了，这个站点有phpadmin
这就有戏了呀

phpadmin，数据库账号密码，绝对路径
这不妥妥的getshell，三件条准备好啦，这不拿下？

结果，自然没话说，这通过mysql日志getshell，不成功，可能是宝塔给拦下来了，日志显示不正常，，不知道为什么？

好的吧，是我太天真了

等等，我好像忘记了啥。。。后台呀！还是那句话，只要思想不滑坡，办法总比困难多！

既然密码解不出来，那就改密码，都有数据root权限了，还怕啥，直接干，就完了！

直接上后台，

系统这么就没更新了，点击文件管理，试试看能不能上次文件

啊，我大意了啊，没有闪，太快了，我截图都没截上就上传好了

渗透到这里我以为，就这，就这，这尼玛，这一下就没了？这也太简单了吧？
这该死的臭运气选手啊。(●ˇ∀ˇ●)

果然，我高兴的太早了，当我上传给冰蝎免杀马上去，结果，返回正常，但是不能执行命令，文件也获取不到，这。。。。问题又来了啊

这八成是disable_functions把函数全给禁了

好吧，既然禁止，那就绕吧
到网上看了下，找到大概绕过disable_functions这几种办法，还有大佬有别的想法的可以留言哈，多多交流
• 常规绕过：exec,shell_exec,system,passthru,popen,proc_open
• 利用环境变量LD_PRELOAD绕过mail,imap_mail,error_log,mb_send_mail
• 利用pcntl_exec绕过利用imap_open函数任意命令执行(CVE-2018-19518)
• 利用系统组件window com绕过利用Apache+mod_cgi+.htaccess
• 绕过利用ImageMagick漏洞绕过利用PHP7.4的FFI绕过利用 ShellShock绕过(CVE-2014-6271)
• 蚁剑插件