「实战」 缘分使我们(骗子)相遇

本文作者: 重生信安 - 海鸥

一、前言 ​

在信息搜集另一个网站的时候,凑巧发现了该网站。经过在百度贴吧的搜索,发现该网站是骗子网站。这才有接下来的剧情~
47161-3qpm1d3e44y.png
二、注入

随手打开一个页面,看到?id=171感觉存在注入。
01850-dxn4v0m00lm.png
经过简单的or 1=1……测试之后,该处的确是一个注入点且没有waf阻拦(之后发现服务器上有安全狗)。
59327-hspspoa94en.png

使用sqlmap注入,得到:
(1)后台账号密码
89651-u745hg5eao9.png

(2)root数据库账号密码及另一个数据库账号密码
三、尝试PHPMyAdmin写Shell
60497-3qc9pbfntjb.png

很奇怪,sqlmap得到root得到的密码上不去,只好使用另一个账号登陆。
38192-5wcsb6mqvlv.png

此账号没有写文件的权限,只能做一些信息收集。

select @@datedir #数据库存放数据的目录
show variables like ‘%secure%’ #查看是否可以写文件
show variables like ‘%general%’ #查看日志的存放路径

使用root注入点写webshell,由于路径原因写不进去。(后来得知数据库文件和web目录是分开的)
72695-xvynftj2sq.png
四、后台文件上传Shell

现在已经有后台登陆账号密码了,只需要找到后台即可登陆。习惯性的先查看源代码
52473-lh4etuosb4h.png
在一个文件的路径中看到了一个/houtai/目录,尝试去访问该页面,报错403。
78440-1ksvn3i6xnh.png

继续查看源代码,尝试寻找网站管理员的命名习惯,然后找到了这几个链接。
41219-bw12src9gpr.png
69158-71farv2506o.png

发现管理员习惯使用拼音来命名目录&文件,根据之前得到的/houtai/目录尝试访问/houtai/denglu.php。
06755-w4dq8pjiyh.png

在版权信息处找到一个可以上传图片的地方
[图片上传中...(57212-eo1gqc9un4k)]
09162-c7fn8yycobq.png
利用%00截断上传phpinfo
80500-ociwu3wtlv.png
这里有个坑,在返回的路径中有一个目录是editor/php/../attached。../代表返回上一级目录,在链接或者访问的时候要访问editor/attached/再使用解析漏洞解析该jpg文件即可解析其中的php代码。
03026-9joyi61wdaf.png
依此再来上传一个webshell
image

在某些目录可以上传,下载文件,但是无法执行系统命令。
16162-reyhxfkfiai.png

查看phpinfo中的disable_function发现禁用了很多执行系统命令的函数,根据phpinfo找到其php配置文件php.ini。
49962-f38izs8ruu4.png

没有权限去修改,删除,覆盖该配置文件。
五、UDF提权

在conn.php文件中找到root的账号密码,这个密码是root的base64编码,之前注入点跑出来的是明文,现在得以解释为什么登陆不上root了。
57015-1injptwluvl.png

该webshell虽然无法修改php.ini配置文件,幸运的是可以在/mysql/lib/plugin目录下上传文件。因为数据库版本是5.5,所以需要将udf.dll文件上传到/mysql/lib/plugin/目录下。
12281-8wmcceo1cef.png
使用已经得到的root账号登陆phpmyadmin,执行sql语句创建一个可以执行命令的函数:
create function sys_eval returns string soname "lib_mysqludf_sys.dll";

创建成功后测试一下:这里是system权限。不知道为什么,除了执行whoami,执行其他命令就会返回16进制的值,很不方便。
73524-8a8y6keexmq.png
六、Cs上线

使用cobalt strick生成powershell payload并在phpmyadmin执行
24540-a8gnwmnr9lq.png

选择生成powershell command
04874-cohvewuapr7.png

选择好监听器
38728-c1bnbbrxpsr.png

复制生成的payload,利用我们创建的udf来执行。
33176-2spc0kc6iov.png

上线,应该是个云主机,并没有内网。
53400-2o4gue31v8l.png
24952-zq9pfvzim7l.png
抓取密码,然后准备登陆。经过测试,他的远程桌面端口是59086。
55379-uggxu4ayl89.png

查看管理员是否在线,昨晚等到1点多还在线就睡了。
66957-y2vg84h4fkd.png

今早七点起来发现管理员没在线就远程连接了一下。
42748-a8uek70f5es.png
一直以为他只是一个卖qq号的骗子,我打开桌面上的某些文件之后,发现他好像是个专门通过申诉方式来盗号的。
25828-sesoh5oqtsp.png
七、结尾

一套操作行云流水,回过头来才发现自己R偏了....淦!

10490-8ckzclxsgwe.png

注 :此站已提交给相关单位QQ防盗小提示

不要点击陌生链接。

不要把自己的密码分享给其他人。

不要把自己的验证码给其他人。

不要安装不明的App。

尽量不要在网上进行QQ号的买卖交易。

作者:重生信息安全
链接:https://www.jianshu.com/p/54ecd6b1995f
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

本文来自投稿,不代表本站立场,如若转载,请注明出处:http://www.csxxaq.com/sectools/784.html
没想到吧?特朗普“成吨肮脏材料”被买走了!
« 上一篇 05-21
【入门篇】PHP源代码审计
下一篇 » 05-21

相关推荐

「翻译」 如何Bypass rbash

前言我们都知道安全分析师和黑客的关系像tom和jerry一样,一个人采取措施加强安全等级,另外一个人试图绕过它。这种类似的情况出现在我解决CTF挑战的时候...

Joomla漏洞总结

以下文章来源于黑白天 ,作者kevinJoomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现漏洞描述Joomla是一套内容管理系统,是使用P...

新秀红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

新秀渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...