注意：我所渗透的站是已授权的，因放图会泄露站点隐私就不放图了

第一个站

授权-商城测试站 查看> 
测试对象：某商场
对方站点配置环境：centos+mysql+php+apache+thinkphp+cms未知+宝塔建站 +cdn 
子域名：无 
1.通过主动收集和被动收集了解网站架构。

2.通过测试发现为b/s架构无子域名发现。

3.通过路由追踪，超级ping，python脚本、dns解析均找不到网站真实IP 。

4.通过/robots.txt发现根目录下有/manage。访问发现是后台管理地址，后台登录表单有账号密码验证码及token令牌认证。token可通过burpsuite返回包进行抓取，但验证码为后端服务器校验，无漏洞可利用。尝试表单注入发现并无注入点。后台暂时放一放。

5.测试前端注册、登录、找回模块。发现注册模块服务器验证码不会刷新存在重放攻击，可恶意消耗短信发送次数。登录页面无可用漏洞。找回密码存在逻辑漏洞，可根据输入账号判断账号是否注册，从而发生注册用户泄露。商城应用模块无可利用漏洞，头像上传做了白名单限制，路径不可控、上传文件名将重新命名，无法绕过，通过brupsuite--spider模块寻找动态参数进行手工及sqlmap结合探测发现无注入。通过留言、搜索、添加收货地址等表单进行xss闭合，发现收货地址存在存储型xss。利用xss获取后台地址及cookie做cookie欺骗发现无法欺骗，根据分析可能存在httponly限制。无法登录。

6.通过awvs进行全站扫描无高危漏洞。

7.基于黑盒测试，只能通过之前发现的xss做url重定向。通过xss写入跳转url，通过kali-linux下的setoolkit制作后台网站配合ngrok形成内网穿透。记录对方账号密码并成功登录到后台。

8.通过后台管理员组头像上传直接提升权限拿到webshell。

9.查看服务器内核版本发现存在脏牛提权。通过nc反弹获取交互式shell。本地编译上传至tmp目录下运行提权失败。msfconsole 提权没有做。

10.修复及安全建议报告：

（1）注册验证码设置过期时间 
（2）找回密码设置验证码 
（3）收货地址采用安全函数过滤，比如htmlspecialchars()安全函数 
（4）后台上传图片使用黑白名单限制
（5）后台url访问采用IP白名单限制 
（6）开启宝塔apache防火墙，设置xss、sql注入等正则替换，主要设置访问频率。防止扫描器及探测工具扫

第二个站

授权-个人博客渗透测试 查看> 
测试对象：个人博客 
对方站点配置环境：centos+mysql+php+nginx+某塔+layui+thinkphp
子域名：解析与主域名一致。

1.手工探测/admin直接找到后台地址，发现没验证码无流量限制。

2.测试用户名发现存在admin用户，burpsuite--intruder尝试弱口令爆破成功进入后台。

3.后台为layui--cms无法执行脚本文件、没有找到可用漏洞。

4.登录注册找回密码等功能模块没有找到相关漏洞。

5.由于站长好久没有管理及更新网站、想起之前宝塔有一个888/pma未鉴权可直接访问phpmyadmin。

6.通过宝塔漏洞直接进去phpmyadmin查看权限为root权限，尝试写入shell发现开启了安全模式。无法写入。

7.尝试利用mysql慢日志log拿shell 。

8.原理：select一句话木马使用延迟注入写入慢日志，将慢日志移动到网站根目录下进行访问链接。

9.下载thinkphp低版本框架及开发文档分析、通过报错找到绝对路径。

10.getshell----结束。修复及建议报告：

1.更新某塔 
2.设置八位及以上密码 
3.设置目录限制和权限。无法移动或者写入即可