1. 程式人生 > >偶然的一次滲透測試

偶然的一次滲透測試

偶然的一次拿站

宣告:在本次滲透測試中,沒有動任何資料,也聯絡了管理員


前言

本來,我是在看一篇科普文章的,做著提到了safe3這個漏掃工具,我就向想試一下這個工具如何,利用google hacking找了一個php的站,掃描完提示有可能存在sql注入,那還等什麼就直接開始操練了。

開始注入

輸入一個單引號,報錯了,更具報錯資訊可以判斷資料庫型別時mysql。然後就是常規操作,判斷欄位數為8,然後只有第四個欄位才會顯示在頁面上,如下所示:
mark
繼續查詢了下資料庫的版本,以及當前使用的資料庫分別為:
資料庫版本為5.1.48-log
資料庫為qdm123287303_db
繼續查詢發現只有兩個資料庫,一個information_schema,一個上面提到的,管理員賬戶肯定是在上面那個資料庫裡,查詢了一下:
mark

http://xxxxxx/index.php?c=default&a=guanyuhuicheng&id=0%20union%20select%201,2,3,group_concat(table_name),5,6,7,8%20from%20information_schema.tables%20where%20table_schema=database()--+

顯示有一個hc_admin表,這肯定就是儲存管理員賬號密碼的表了,查詢出來賬號密碼:admin~bee333a826ece70757dbcba4b7930471(Passw0rdhc)
為了跑這個MD5值我還花了2塊大洋。
mark
後臺是我一開始就掃出來了(先看看是否能找到後臺是個好習慣),直接輸入admin就會跳轉到後臺。直接登入
mark

拿到shell

其實中間有個小插曲,我在掃目錄以及sql注入的過程中,ip被臨時遮蔽掉好幾次,反正就是找各種免費代理繼續整,要是有一個高質量的免費代理自動切換工具就太爽了(可能後面會考慮搞一個)。

老規矩,先找上傳點,後臺有一個產品相簿這麼個選項,其中就可以上傳圖片,先上傳了幾張正常圖片上去看下路徑,路徑在前臺對應有產品相簿這麼個選項,所以很好找,那就準備上傳小馬。

根據多次測試發現,後臺應該是對上傳的內容作了檢驗,那我就製造一個圖片馬上傳唄:

copy shell.php/a+pig.jpg/b pig.jpg

cmd下執行上面的命令就會生成圖片馬,然後上傳抓包,把檔名改回php,結果後臺報錯了,反正就是一大堆錯誤,還直接爆出了原始碼,我以為沒戲了就換了其他的字尾名試試,例如cer,也都不行
mark

有點心累,但還是要幹,我回頭來分析了一下上面爆的錯誤,看看有沒有什麼轉機,結果還真被我找到了突破口,可以看到上面報的錯誤是imagecreatefromphp沒有實現,我上傳cer字尾的時候就是imagecreatefromcer沒有實現,經過測試發現這個函式名就是

imagecreatefrom+字尾名

合法的函式應該是imagecreatefromjpg等等圖片型別的,一開始的想法是能不能通過對檔名做手腳繞過這裡,試了00截斷等,無解。於是另謀出路,當我往下看報錯資訊的時候才發現,我的php檔案應該是被傳上去了,從上圖我標記出來的地方可以看到。

後臺應該接收了我的檔案,只是想要通過我的檔案建立圖片失敗了,因為相應的imagecreatefromphp沒有實現,而且報錯資訊中甚至爆出了路徑。於是乎菜刀連線之,結果直接連結被重置了!!!我的ip又被遮蔽掉了,看來伺服器上還是有東西的。菜刀連線是不行的了,那我直接上傳大馬吧!

mark

提權

webshell已經拿到,接下來就是提權啦,用nmap探測了一下伺服器的作業系統以及埠,不知是namp誤報還是什麼的,反正掃出來作業系統是索尼的一款電視的品牌。。。(什麼TV),但是更具前面各種資訊,例如網站根路徑可以知道是linux系統。

linux系統提權以前從沒接觸過,但是既然遇到了就看看吧,nmap掃描埠:
mark
這些東西好像也沒有什麼可利用的,vsftpd也只有2.3.4可以直接提權,mysql資料庫也不是root許可權。

用nc反彈了一個shell,也執行不了命令….所以我就放棄了提權
在這個過程中也學到了一些新東西,比如通過webshell來建立正向代理等等,後續可能會把這些知識點補充上來。

無聊

無聊的時候查了下木馬,發現之前已經有很多前輩上來過了,有三個大馬在上面掛著的,233333

mark
關注我,我們一起玩耍