偶然的一次拿站
聲明:在本次滲透測試中,沒有動任何數據,也聯繫了管理員
前言
本來,我是在看一篇科普文章的,做着提到了safe3這個漏掃工具,我就向想試一下這個工具如何,利用google hacking找了一個php的站,掃描完提示有可能存在sql注入,那還等什麼就直接開始操練了。
開始注入
輸入一個單引號,報錯了,更具報錯信息可以判斷數據庫類型時mysql。然後就是常規操作,判斷字段數爲8,然後只有第四個字段纔會顯示在頁面上,如下所示:
繼續查詢了下數據庫的版本,以及當前使用的數據庫分別爲:
數據庫版本爲5.1.48-log
數據庫爲qdm123287303_db
繼續查詢發現只有兩個數據庫,一個information_schema,一個上面提到的,管理員賬戶肯定是在上面那個數據庫裏,查詢了一下:
http://xxxxxx/index.php?c=default&a=guanyuhuicheng&id=0%20union%20select%201,2,3,group_concat(table_name),5,6,7,8%20from%20information_schema.tables%20where%20table_schema=database()--+顯示有一個hc_admin表,這肯定就是存儲管理員賬號密碼的表了,查詢出來賬號密碼:admin~bee333a826ece70757dbcba4b7930471(Passw0rdhc)
爲了跑這個MD5值我還花了2塊大洋。
後臺是我一開始就掃出來了(先看看是否能找到後臺是個好習慣),直接輸入admin就會跳轉到後臺。直接登錄
拿到shell
其實中間有個小插曲,我在掃目錄以及sql注入的過程中,ip被臨時屏蔽掉好幾次,反正就是找各種免費代理繼續整,要是有一個高質量的免費代理自動切換工具就太爽了(可能後面會考慮搞一個)。
老規矩,先找上傳點,後臺有一個產品圖庫這麼個選項,其中就可以上傳圖片,先上傳了幾張正常圖片上去看下路徑,路徑在前臺對應有產品圖庫這麼個選項,所以很好找,那就準備上傳小馬。
根據多次測試發現,後臺應該是對上傳的內容作了檢驗,那我就製造一個圖片馬上傳唄:
copy shell.php/a+pig.jpg/b pig.jpgcmd下執行上面的命令就會生成圖片馬,然後上傳抓包,把文件名改回php,結果後臺報錯了,反正就是一大堆錯誤,還直接爆出了源代碼,我以爲沒戲了就換了其他的後綴名試試,例如cer,也都不行
有點心累,但還是要幹,我回頭來分析了一下上面爆的錯誤,看看有沒有什麼轉機,結果還真被我找到了突破口,可以看到上面報的錯誤是imagecreatefromphp沒有實現,我上傳cer後綴的時候就是imagecreatefromcer沒有實現,經過測試發現這個函數名就是
imagecreatefrom+後綴名合法的函數應該是imagecreatefromjpg等等圖片類型的,一開始的想法是能不能通過對文件名做手腳繞過這裏,試了00截斷等,無解。於是另謀出路,當我往下看報錯信息的時候才發現,我的php文件應該是被傳上去了,從上圖我標記出來的地方可以看到。
後臺應該接收了我的文件,只是想要通過我的文件創建圖片失敗了,因爲相應的imagecreatefromphp沒有實現,而且報錯信息中甚至爆出了路徑。於是乎菜刀連接之,結果直接鏈接被重置了!!!我的ip又被屏蔽掉了,看來服務器上還是有東西的。菜刀連接是不行的了,那我直接上傳大馬吧!
提權
webshell已經拿到,接下來就是提權啦,用nmap探測了一下服務器的操作系統以及端口,不知是namp誤報還是什麼的,反正掃出來操作系統是索尼的一款電視的品牌。。。(什麼TV),但是更具前面各種信息,例如網站根路徑可以知道是linux系統。
linux系統提權以前從沒接觸過,但是既然遇到了就看看吧,nmap掃描端口:
這些東西好像也沒有什麼可利用的,vsftpd也只有2.3.4可以直接提權,mysql數據庫也不是root權限。
用nc反彈了一個shell,也執行不了命令….所以我就放棄了提權
在這個過程中也學到了一些新東西,比如通過webshell來建立正向代理等等,後續可能會把這些知識點補充上來。
無聊
無聊的時候查了下木馬,發現之前已經有很多前輩上來過了,有三個大馬在上面掛着的,233333
關注我,我們一起玩耍