「實戰(zhàn)」 緣分使我們(騙子)相遇

本文作者: 重生信安 - 海鷗

一、前言 ?

在信息搜集另一個網(wǎng)站的時候,湊巧發(fā)現(xiàn)了該網(wǎng)站。經(jīng)過在百度貼吧的搜索,發(fā)現(xiàn)該網(wǎng)站是騙子網(wǎng)站。這才有接下來的劇情~
image

二、注入

隨手打開一個頁面,看到?id=171感覺存在注入。
image

經(jīng)過簡單的or 1=1……測試之后,該處的確是一個注入點且沒有waf阻攔(之后發(fā)現(xiàn)服務(wù)器上有安全狗)。
image

使用sqlmap注入,得到:

(1)后臺賬號密碼
image

(2)root數(shù)據(jù)庫賬號密碼及另一個數(shù)據(jù)庫賬號密碼

三、嘗試PHPMyAdmin寫Shell

image

很奇怪,sqlmap得到root得到的密碼上不去,只好使用另一個賬號登陸。
image

此賬號沒有寫文件的權(quán)限,只能做一些信息收集。

select @@datedir #數(shù)據(jù)庫存放數(shù)據(jù)的目錄
show variables like ‘%secure%’ #查看是否可以寫文件
show variables like ‘%general%’ #查看日志的存放路徑

使用root注入點寫webshell,由于路徑原因?qū)懖贿M(jìn)去。(后來得知數(shù)據(jù)庫文件和web目錄是分開的)
image

四、后臺文件上傳Shell

現(xiàn)在已經(jīng)有后臺登陸賬號密碼了,只需要找到后臺即可登陸。習(xí)慣性的先查看源代碼
image

在一個文件的路徑中看到了一個/houtai/目錄,嘗試去訪問該頁面,報錯403。
image

繼續(xù)查看源代碼,嘗試尋找網(wǎng)站管理員的命名習(xí)慣,然后找到了這幾個鏈接。
image
image

發(fā)現(xiàn)管理員習(xí)慣使用拼音來命名目錄&文件,根據(jù)之前得到的/houtai/目錄嘗試訪問/houtai/denglu.php。
image

在版權(quán)信息處找到一個可以上傳圖片的地方
image
image

利用%00截斷上傳phpinfo
image

這里有個坑,在返回的路徑中有一個目錄是editor/php/../attached。../代表返回上一級目錄,在鏈接或者訪問的時候要訪問editor/attached/再使用解析漏洞解析該jpg文件即可解析其中的php代碼。
image

依此再來上傳一個webshell
image

在某些目錄可以上傳,下載文件,但是無法執(zhí)行系統(tǒng)命令。
image

查看phpinfo中的disable_function發(fā)現(xiàn)禁用了很多執(zhí)行系統(tǒng)命令的函數(shù),根據(jù)phpinfo找到其php配置文件php.ini。
image

沒有權(quán)限去修改,刪除,覆蓋該配置文件。

五、UDF提權(quán)

在conn.php文件中找到root的賬號密碼,這個密碼是root的base64編碼,之前注入點跑出來的是明文,現(xiàn)在得以解釋為什么登陸不上root了。
image

該webshell雖然無法修改php.ini配置文件,幸運的是可以在/mysql/lib/plugin目錄下上傳文件。因為數(shù)據(jù)庫版本是5.5,所以需要將udf.dll文件上傳到/mysql/lib/plugin/目錄下。
image

使用已經(jīng)得到的root賬號登陸phpmyadmin,執(zhí)行sql語句創(chuàng)建一個可以執(zhí)行命令的函數(shù):

create function sys_eval returns string soname "lib_mysqludf_sys.dll";

創(chuàng)建成功后測試一下:這里是system權(quán)限。不知道為什么,除了執(zhí)行whoami,執(zhí)行其他命令就會返回16進(jìn)制的值,很不方便。
image

六、Cs上線

使用cobalt strick生成powershell payload并在phpmyadmin執(zhí)行
image

選擇生成powershell command
image

選擇好監(jiān)聽器
image

復(fù)制生成的payload,利用我們創(chuàng)建的udf來執(zhí)行。
image

上線,應(yīng)該是個云主機,并沒有內(nèi)網(wǎng)。

image
image

抓取密碼,然后準(zhǔn)備登陸。經(jīng)過測試,他的遠(yuǎn)程桌面端口是59086。
image

查看管理員是否在線,昨晚等到1點多還在線就睡了。
image

今早七點起來發(fā)現(xiàn)管理員沒在線就遠(yuǎn)程連接了一下。
image

一直以為他只是一個賣qq號的騙子,我打開桌面上的某些文件之后,發(fā)現(xiàn)他好像是個專門通過申訴方式來盜號的。
image

七、結(jié)尾

一套操作行云流水,回過頭來才發(fā)現(xiàn)自己R偏了....淦!


image

注 :此站已提交給相關(guān)單位QQ防盜小提示
image

  • 不要點擊陌生鏈接。

  • 不要把自己的密碼分享給其他人。

  • 不要把自己的驗證碼給其他人。

  • 不要安裝不明的App。

  • 盡量不要在網(wǎng)上進(jìn)行QQ號的買賣交易。

image
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容