细说渗透江湖之披荆斩棘

说来话长, 在一个月黑风高的晚上，突然接到一个渗透任务，貌似还挺急，在客户充分授权的情况下，便连夜进行测试。

由于本次渗透时间紧任务重，以拿权限为主，信息收集时需要格外仔细，端口、C段、指纹、路径、fofa、目录、github、网盘等等，有关信息进行收集，当然了403，404，nginx等页面也是屡见不鲜了，故事的开始要从一个403页面开始，也许在坚硬的403下，当你一层一层剥开他的目录的时候，你会发现意想不到的惊喜。不多废话，直接正文

开局一个403，后面目录全靠扫，不要问我为什么是这个403，我只能说直觉告诉我这个页面并不简单。

发现admin目录。

访问admin目录，发现是一个后台登录页面，

先收集一下信息，利用whatweb来收集指纹信息，看一看有没有已知漏洞，不过很遗憾没有查到已知漏洞，而且这个cms还是最新版本

回来看一下还没有验证码，看来可以来一波弱口令爆破，果断上字典撸它一波，很遗憾，没有爆出来，

根据客户信息，搜集一波，尝试利用收集到的人名信息配合弱口令生成一个新的字典。

运气不错，原来密码是名字+键盘密码

进入后台先看看有啥能利用的功能点

编辑栏目处，发现一个可以文件上传的点。

先上传一波正常文件，访问，一切正常。

换成一句话，上传php，很可惜，有一定的限制，没有成功，尝试了各种方法，双写，大小写，垃圾字符，截断，换行，双filename等等，很遗憾，通通失败。

其他地方也没什么发现，此时一度陷入僵局，既然知道用的什么cms了，本地搭建环境，代码审计看看有没有什么可利用的漏洞。

发现备份数据的地方可以执行sql语句。

文件位置app->system->databack->admin->index.class.php的581行是关键地方。