看我如何调查放置后门之Thinkphp

### 简要描述： 提交这个我纠结了很久，本来我是可以做一个坏帽子，贼喊捉贼，昨天晚上想了想，我的偶像猪猪侠提交的那些漏洞和我这比我这就是渣渣，他都可以无私的提交而不去换取不正当的金钱，我为什么就不可以呢？这个应该属于通用漏洞奖励鸟 ### 详细说明： 渗透thinkphp完全是因为无聊之余搞了搞，可是没想到的还搞进去了，呵呵，首先在一个群里面发现别人发了一个thinkphp的连接 打开是一个压缩包 800多MB就下载了 可是下载速度我不敢恭维啊，几KB几十KB每秒，呵呵。 [<img src="https://images.seebug.org/upload/201311/0621095315758d3c9902809a1c49d2b52dc28230.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/0621095315758d3c9902809a1c49d2b52dc28230.png) 下了四个小时才下载完，下载了那么久，当然要看看里面的东西，源码，呵呵这安全运维可真厉害，在里面找到了一个config 看看好东西，果然有干货。 [<img src="https://images.seebug.org/upload/201311/06211007e1af4a25f696deaf14098755d1a61e7a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211007e1af4a25f696deaf14098755d1a61e7a.png) 尝试外链这mysql数据，连接不了，然后继续往下面看。 [<img src="https://images.seebug.org/upload/201311/062110198d552dc6be5f2d7c241d4712e4d07d3e.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/062110198d552dc6be5f2d7c241d4712e4d07d3e.png) 发现了邮件配置，拿着这个登陆试一下。 [<img src="https://images.seebug.org/upload/201311/062110306af64d2e42312a3a848f2cd8a5f1757f.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/062110306af64d2e42312a3a848f2cd8a5f1757f.png) 成功了，看了一下里面没什么东西，多半是发送注册邮件什么的，继续往下看会有的。 [<img src="https://images.seebug.org/upload/201311/062110442e1a66433bec2e5b59d34ad5758e946c.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/062110442e1a66433bec2e5b59d34ad5758e946c.png) 我和我的小伙伴们都惊呆了，确定可以登陆吗？试一下不就知道了。。 [<img src="https://images.seebug.org/upload/201311/062110519d961eade4f01d30f3c2bd3a225967ef.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/062110519d961eade4f01d30f3c2bd3a225967ef.png) 真不知道说什么了，这是一个礼物，大礼物。。。可是FTP的IP和官网的IP不是一个，所以就翻了一下没找到什么东西。 然后查询了一下IP上绑定的域名发现有一个thinkphp的下载域名在里面：down.thinkphp.cn [<img src="https://images.seebug.org/upload/201311/06211059a0a3ff21cda996c017d11067830b4696.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211059a0a3ff21cda996c017d11067830b4696.png) 我就不多写过程了，而在我去thinkphp的网站上下载包的时候发现包是在down这个服务器上面。 [<img src="https://images.seebug.org/upload/201311/06211111d21aab158e352a38f99b166ff3261144.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211111d21aab158e352a38f99b166ff3261144.png) 如果我把里面的包加上后门或者在你一次升级重要版本的时候加上后门 那样岂不是很多站都会被挂上shell？当然 做为一个猪猪侠的崇拜者，我是不会干这事的。 一个shell算什么？最后还提权了这台服务器 利用的是mysql root权限直接UDF提权 [<img src="https://images.seebug.org/upload/201311/06211132947df9b4308fc808e1285fc47e3eb990.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211132947df9b4308fc808e1285fc47e3eb990.png) 最后在邮箱中也找回了一个管理员的密码，好不容易找到的管理员邮箱啊 开始第一个没找回来 一直没发送邮件 最后这个才找回成功 可以直接编辑N多东西 下载包也可以更新。 [<img src="https://images.seebug.org/upload/201311/062111402a672eeba78e80f6fa8a3e8648fcc1e8.png" alt="10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/062111402a672eeba78e80f6fa8a3e8648fcc1e8.png) [<img src="https://images.seebug.org/upload/201311/06211150cc03caca791914ceeccab00d140f49bf.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211150cc03caca791914ceeccab00d140f49bf.png) 在这里我终于明白了 为什么经常会有大型CMS存在后门了。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201311/06211132947df9b4308fc808e1285fc47e3eb990.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211132947df9b4308fc808e1285fc47e3eb990.png) [<img src="https://images.seebug.org/upload/201311/06211111d21aab158e352a38f99b166ff3261144.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/06211111d21aab158e352a38f99b166ff3261144.png)