专栏首页黑白天安全团队泄露数据库密码到拿下wordpress站点服务器

泄露数据库密码到拿下wordpress站点服务器

一切从数据库密码泄露开始

其实我一直想尝试的是,弱密码进入别人后台搞一番事情,但是这种事情我也只能从别人的文章中看得到了!哈哈哈哈哈哈这也太难受了!那我是如何进入别人后台的呢!也是从数据库密码泄露开始。在翻找以前留下的shell中,在一个旁站的数据库配置文件中发现了一个不同寻常的数据库链接IP地址。

那我尝试着去链接这个数据库看看,发现这个数据库里面都包含着wordpress的数据库数据。

鲁迅说的好,没有什么事情是偶然的,也没有什么事情是必然的。既然数据库的账号密码已经知道了,那我就抱着学习研究的态度去渗透一些这个网站看看。首先拿到这个IP地址,必然需要知道这个IP地址是否有搭建网站,如果这台服务器是单纯的数据库服务器的话,那渗透的难度我绝对可能就会大点了。使用域名反查查询一下,发现这个IP地址的确有搭建一个网站。

那么我就访问之,发现这个网站的的确确挺漂亮的哦!而且是一个ubuntu作为服务器的网站

使用插件查看一些网站的一些指纹信息,这个wordpress的版本是5.4.2。ubuntu的操作系统,服务器的中间件是Apache2.4.18的版本。接下里查看一下端口的信息

接着对网站的目录进行扫描一波,这里扫描除了phpmyadmin的路径和一个info.php。这个info.php比较敏感,经验推测的话应该就是phpinfo。接下来可以通过登陆到phpmyadmin进入之后通过phpinfo泄露的网站绝对路径写入一句话进去获取webshell

这里我直接使用泄露的数据吗密码登陆进phpmyadmin。进入之后第一步我是采用写入一句话的方式尝试一下是否能写入一句话进去。首先需要查看secure_file_priv是否为空。很可惜的是这个已经限定了路径。这样的话就不可以写一句话到网站的绝对路径了!

如果secure_file_priv不为空的话,在写入数据库的时候也会提示secure_file_priv不为空

接下里的思路就是通过日志获取webshell了。首先查看一下general_log变量是否已经开启。如果未开启的话需要把它开启

SHOW VARIABLES LIKE "general_log"
set global general_log='on'

但是在第二步设置日志的存放位置的时候发生了错误,这个错误很奇怪。经过测试之后发现这个路径只能设置在mysql文件加下面。并不能设置到网站的绝对路径

从wordpress后台入手

测试了一番发现phpmyadmin这里不能入手测试,那只能放弃phpmyadmin这个入口了。从phpmyadmin里面查询出wordpress的后台密码,心想这次我直接就从后台入手了。可是。。。。

好吧!贫穷的我并没有开VIP哈哈哈哈。那就只能富贵险中求了!我直接把管理员的密码给修改了吧!虽然很不好,那我就只是进去一下下就出来!这里我选择了一个管理员权限的用户进去了后台。

说好了只是进去一下下,那我进去之后我新增一个管理员过去,接着把我修改了密码的管理员的密码恢复回去了!

说实话wordpress后台管理我也不是很熟悉,获取shell的话也不是很懂。一般两个方法比较直接拿shell吧,通过添加一句话到外观或者外挂!额外挂好像就是插件吧!就是插件。首先我尝试的是在外观这里添加一句话。选择在404这里添加!

但是尝试了一番发现不可以写入,提示需要管理员以上传的方式来修改。

那就只能尝试在插件里面修改了!进去之后查看一番安装了什么插件,选择性的挑选一个。

首先需要测试一下是否能访问到插件,在之前目录扫描的时候发现了/wp-content/ 这是可以访问得到的。这里并没有显示403禁止访问,也没有报错。

之后对几个插件进行了测试,发现要不是403拒绝访问要不就是报错要不就是500。最终之后一个可以插入访问的下来

接着直接使用蚁剑链接进入,每次看到蚁剑显示出绿绿的东西出来,都感觉到心里一整舒畅哈哈哈!

最后蚁剑这个shell也可也执行命令,再查看网卡的时候发现有docker。也许这个服务器很多都是靠docker部署的吧!接下里的后渗透就先放一下了!

最后把之前创建的账号删除了!希望管理员当时不在线,哈哈哈哈老希望工程了!其实最后我也算是体验了弱口令进入后台了吧哈哈哈

本文分享自微信公众号 - 黑白天(li0981jing),作者:jen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 某次网站的渗透测试

    对此网站进行SQL注入测试之后发现这个网站是没有WAF之类的防护软件进行包含网站的,那么我就直接使用SQLMAP进行SQL注入测试。SQLMAP给出网站的指纹信...

    黑白天安全
  • 实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露

    URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞

    黑白天安全
  • linux提权-Suid和Guid配置错误

    SUID代表设置的用户ID,是一种Linux功能,允许用户在指定用户的许可下执行文件。例如,Linux ping命令通常需要root权限才能打开网络套接字。通过...

    黑白天安全
  • 【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

    “防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。 早在90年代初,William Cheswick和Steven...

    FB客服
  • 2020年算法工程师技术路线图

    来源丨https://zhuanlan.zhihu.com/p/192633890

    AI算法与图像处理
  • fsck-磁盘修复工具

    fsck(file system check)用来检查和维护不一致的文件系统。若系统掉电或磁盘发生问题,可利用fsck命令对文件系统进行检查。

    胡齐
  • 【产品动态】智能钛 TI-ONE 上海地域服务正式上线

    为了给大家提供更好的服务,智能钛 TI-ONE 上海地域服务已正式上线。上海地域的收费标准与广州地域一致。建议您根据您的业务情况,选择就近的地域使用平台服务,以...

    腾讯智能钛AI开发者
  • 如何让两个线程“系鞋带"

    前两天转了马士兵老师的《没错,我就是厕所所长!》,正好有朋友和我讨论一个线程打印的问题,于是今天就趁着周末们睡觉,写了个简单的实现。

    麒思妙想
  • 手把手教你用python抓取网页导入模块 urllib2随便查询一篇文章,比如On random graph。对每一个查询googlescholar都有一个url,这个url形成的规则是要自己分析的。

    http://www.1point3acres.com/bbs/thread-83337-1-1.html **前言: ** 数据科学越来越火了,网页是数据...

    Albert陈凯
  • 算法与数据结构(三):栈

    栈与队列一样也是一种线性的数据结构,与队列不同的是栈是一种先进后出的结构,有点类似于现实中的弹夹,最后压进去的子弹总是最先被打出来,在计算机中栈用到的地方就是用...

    Masimaro

扫码关注云+社区

领取腾讯云代金券