今天朋友突然告訴我,某轉買手機被騙了1200塊錢,心理一驚,果然不出所料,那我來試試吧。
要來了詐騙網站地址,打開是這種:
果斷收集一下信息:(由於留言騙子返還朋友錢款,暫時給他留點面子,打點馬賽克)
查看端口,一猜就是寶塔面板搭建開着80,那就訪問一下:從官網查找客服軟件的教程。發現後臺路徑爲:/admin直接訪問果然發現:想也沒想,直接admin:123456,沒想到的是進去了哈哈哈:下一步當然是getshell,找了一圈發現直接可編輯語言配置文件:這裏使用簡單的一句話還給我封了ip丫的,看了一眼竟然用雲盾,這騙子還有點安全意識,那隻好祭出我的哥斯拉殺器(直接帶bypass function的,也好用對不):好傢伙,禁用的函數如此之多,那行吧,繞過唄文件管理時發現限制目錄讀取:
直接使用哥斯拉的目錄訪問繞過:
最後目錄瀏覽時發現php存在多個版本,本人php5提權不太熟悉(哥斯拉不適用哈哈),看見php7後果斷找其他站點:訪問其他站點都能訪問,解析ip都是這個,終於發現一個php7的
終於發現一個php7的,但是linux版本內核很新啊,看來提權是個麻煩
而後不出所料,哥斯拉的函數繞過可執行命令:執行後直接獲取低權限shell: 是www用戶,權限很低。
在目錄下還發現了一個殺豬盤工具:框框 可以一鍵生成詐騙詳情鏈接:
(現在大家知道不要相信qq微信交易的重要性了吧,這種殺豬盤很容易坑人)
最後根據收集到的數據庫鏈接等信息準備進數據庫裏看一眼,哥斯拉的鏈接有問題:於是搭建frp到騙子服務器訪問:
信息:
由於www用戶無法寫入mysql目錄.so文件,無法使用mysql提權。
sudo一直要使用www密碼,結果也是無法使用sudo。
有suid位的命令如表,
/usr/bin/chage
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/mount
/usr/bin/su
/usr/bin/umount
/usr/bin/pkexec
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/at
/usr/bin/sudo
/usr/bin/crontab
/usr/bin/passwd
/usr/sbin/grub2-set-bootflag
/usr/sbin/unix_chkpwd
/usr/sbin/pam_timestamp_check
/usr/lib/polkit-1/polkit-agent-helper-1最後使用CVE-2018-18955
https://www.freebuf.com/news/197122.html最後已將整理完的信息提交朋友和警方,就沒再深入。