快捷导航

【实战】渗透过程一则

[复制链接]
uuu 发表于 2018-11-27 23:26 | 显示全部楼层 |阅读模式
查看: 3922  |  回复: 0

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
目标:xxxx.com
信息收集:

通过大小写判断,服务器为Linux
所以环境就是php+mysql+linux+apache
然后是joomla1.5的版本
访问language/en-GB/en-GB.xml得到详细版本信息

并且在随手测试时发现目标存在phpmyadmin
解析ip: 47.x.x.x 通多超级ping确认是否存在CDN,结果为没有
扫描端口时发现存在防火墙,一扫即拉黑IP,短则几分钟,长则几个小时….
但还是通过firefoxshodan插件得到一些端口信息


whois信息做了保护,所以查询过后没有任何收获
再查了下旁站
大概有40-50个吧,没错的话这个站应该就是托管的了。
既然知道目标是joomla并且知道详细版本,所以先google找了一些以往爆过的漏洞,并且用joomscan进行了扫描,这么老的版本,爆出来的漏洞非常的多。
足足有十几二十个吧,但是经过测试,全部失败,或许是目标已经补了,也或许是姿势不对吧。
万般无奈下搞起了旁站,虽然知道这种站提权不会太简单,但总是要试试的。
不能使用扫描器,一扫即挂,什么目录扫描工具、awvs也纷纷没有派上用场。
虽然发现很多后台可以爆破,包括phpmyadmin,但也是毫无办法,本来想用tor解决这个问题的,但是,tor实在是太慢太慢(http://00l.in/2017/10/175.html)
一个个站点翻后发现存在问题站点
http://radi.xxxxt.com/rc.php?pro=cHJvMDE=&ch=2&file=cHJvMDFfcDFfMi5tcDM=

测试发现file=文件名的base64加密
尝试../../../../../../../../../../../../../../../../../etc/passwd base64加密后进行访问

作为一个不懂英文的土鳖,拿去翻译了下
大概就是不能跨到其他用户目录读取文件的意思吧
然后我又试了下报错页面爆出来的路径

虽然证明了这个漏洞的存在,但是并没有什么卵用、、、因为、、、我并没有找到他的数据库配置文件还有后台什么的
但是对比前面收集到的旁站发现,这个主域名下还有个blog的子域名,wordpress,通过这个路径拼了下wordpress的绝对路径,人品爆发的下载到了wordpress的数据库配置文件,成功进入phpmyadmin,备份原用户密码修改新的密码并进入后台
但还是没什么卵用,因为没有任何写入权限,最新的wordpress也没爆什么漏洞。
phpmyadmin连读文件都是失败,所以更不谈拿shell。当然也试了一波phpmyadmin漏洞,还有就是数据库用户密码试了下ftp,***。
突破点

发现一个discuz7.2的站,这站漏洞多呀,本以为拿shell也是分分钟的事了,结果就是我试了之前爆过的几个代码执行统统失败,通过注入拿到后台,但是拿shell也是各种失败(本地测试成功),也因为自己之前一直没研究过dz这个东西吧。还是t00ls强大,提问后没多久一位表哥给出答案



在本地测试发现上传后会在站点/forumdata/plugins生成cool.lang.php

访问cool.lang.php生成webshell forumdata/plugins/a.php

成功getshell后万分欣喜,本以为起码可以执行命令尝试提权了,结果却是



虽然无奈但也没有放弃的念头

在T00ls找到以下两个方法:

https://www.t00ls.net/articles-44969.html

https://www.t00ls.net/viewthread.php?tid=16954&highlight=%E5%AE%89%E5%85%A8%E6%A8%A1%E5%BC%8F

但结果不尽人意。

最后到google找到以下方法成功执行命令,贴一下整理出来的关键信息

编辑hack.c文件

编译成可执行文件再编译so文件

再用php调用so文件,访问php后命令被执行



测试发现权限为apache权限,/etc/passwd可读,比普通用户权限又稍微高了那么一点点,虽然不可以列普通用户的目录,但是其他用户的web目录却是可读的

这个时候方向就很明确了,如果能猜到目标站点的目录,是不是就可直接读取joomla数据库配置文件、然后到phpmyadmin改密码拿shell了呢?

手工在目标站点测试看是否存在phpinfo、文件报错,遗憾的是并没有。。。

读取./etc/apache2/apache2.conf失败,没有权限

读取/var/lib/mysql/mysql/user.MYD失败,没有权限

读取/etc/passwd、列目录/var/lib/mysql成功

在数据库目录,一个这样的库名引起了我的注意

drwx------ 2 mysqlmysql 12288 Feb 16 2011 xxxx_joom1

通过之前得到的路径规律猜测路径

最后成功找到目标站点路径,本想读配置文件进数据库拿管理员的,在某表哥提醒下发现存在可写目录,直接echo一句话木马,收工





永远支持黑客共享吧!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

本站内容均来自于互联网,仅供参考,请遵循当地相关法律法规。

快速回复 返回顶部 返回列表