偶然的一次拿站
声明:在本次渗透测试中,没有动任何数据,也联系了管理员
前言
本来,我是在看一篇科普文章的,做着提到了safe3这个漏扫工具,我就向想试一下这个工具如何,利用google hacking找了一个php的站,扫描完提示有可能存在sql注入,那还等什么就直接开始操练了。
开始注入
输入一个单引号,报错了,更具报错信息可以判断数据库类型时mysql。然后就是常规操作,判断字段数为8,然后只有第四个字段才会显示在页面上,如下所示:
继续查询了下数据库的版本,以及当前使用的数据库分别为:
数据库版本为5.1.48-log
数据库为qdm123287303_db
继续查询发现只有两个数据库,一个information_schema,一个上面提到的,管理员账户肯定是在上面那个数据库里,查询了一下:
http://xxxxxx/index.php?c=default&a=guanyuhuicheng&id=0%20union%20select%201,2,3,group_concat(table_name),5,6,7,8%20from%20information_schema.tables%20where%20table_schema=database()--+显示有一个hc_admin表,这肯定就是存储管理员账号密码的表了,查询出来账号密码:admin~bee333a826ece70757dbcba4b7930471(Passw0rdhc)
为了跑这个MD5值我还花了2块大洋。
后台是我一开始就扫出来了(先看看是否能找到后台是个好习惯),直接输入admin就会跳转到后台。直接登录
拿到shell
其实中间有个小插曲,我在扫目录以及sql注入的过程中,ip被临时屏蔽掉好几次,反正就是找各种免费代理继续整,要是有一个高质量的免费代理自动切换工具就太爽了(可能后面会考虑搞一个)。
老规矩,先找上传点,后台有一个产品图库这么个选项,其中就可以上传图片,先上传了几张正常图片上去看下路径,路径在前台对应有产品图库这么个选项,所以很好找,那就准备上传小马。
根据多次测试发现,后台应该是对上传的内容作了检验,那我就制造一个图片马上传呗:
copy shell.php/a+pig.jpg/b pig.jpgcmd下执行上面的命令就会生成图片马,然后上传抓包,把文件名改回php,结果后台报错了,反正就是一大堆错误,还直接爆出了源代码,我以为没戏了就换了其他的后缀名试试,例如cer,也都不行
有点心累,但还是要干,我回头来分析了一下上面爆的错误,看看有没有什么转机,结果还真被我找到了突破口,可以看到上面报的错误是imagecreatefromphp没有实现,我上传cer后缀的时候就是imagecreatefromcer没有实现,经过测试发现这个函数名就是
imagecreatefrom+后缀名合法的函数应该是imagecreatefromjpg等等图片类型的,一开始的想法是能不能通过对文件名做手脚绕过这里,试了00截断等,无解。于是另谋出路,当我往下看报错信息的时候才发现,我的php文件应该是被传上去了,从上图我标记出来的地方可以看到。
后台应该接收了我的文件,只是想要通过我的文件创建图片失败了,因为相应的imagecreatefromphp没有实现,而且报错信息中甚至爆出了路径。于是乎菜刀连接之,结果直接链接被重置了!!!我的ip又被屏蔽掉了,看来服务器上还是有东西的。菜刀连接是不行的了,那我直接上传大马吧!
提权
webshell已经拿到,接下来就是提权啦,用nmap探测了一下服务器的操作系统以及端口,不知是namp误报还是什么的,反正扫出来操作系统是索尼的一款电视的品牌。。。(什么TV),但是更具前面各种信息,例如网站根路径可以知道是linux系统。
linux系统提权以前从没接触过,但是既然遇到了就看看吧,nmap扫描端口:
这些东西好像也没有什么可利用的,vsftpd也只有2.3.4可以直接提权,mysql数据库也不是root权限。
用nc反弹了一个shell,也执行不了命令….所以我就放弃了提权
在这个过程中也学到了一些新东西,比如通过webshell来建立正向代理等等,后续可能会把这些知识点补充上来。
无聊
无聊的时候查了下木马,发现之前已经有很多前辈上来过了,有三个大马在上面挂着的,233333
关注我,我们一起玩耍