专栏首页小白帽学习之路「实战」 缘分使我们(骗子)相遇

「实战」 缘分使我们(骗子)相遇

一、前言

在信息搜集另一个网站的时候,凑巧发现了该网站。经过在百度贴吧的搜索,发现该网站是骗子网站。这才有接下来的剧情~

二、注入

随手打开一个页面,看到?id=171感觉存在注入。

经过简单的or 1=1……测试之后,该处的确是一个注入点且没有waf阻拦(之后发现服务器上有安全狗)。

使用sqlmap注入,得到:

(1)后台账号密码

(2)root数据库账号密码及另一个数据库账号密码

三、尝试PHPMyAdmin写Shell

很奇怪,sqlmap得到root得到的密码上不去,只好使用另一个账号登陆。

此账号没有写文件的权限,只能做一些信息收集。

select @@datedir #数据库存放数据的目录
show variables like ‘%secure%’ #查看是否可以写文件
show variables like ‘%general%’ #查看日志的存放路径

使用root注入点写webshell,由于路径原因写不进去。(后来得知数据库文件和web目录是分开的)

四、后台文件上传Shell

现在已经有后台登陆账号密码了,只需要找到后台即可登陆。习惯性的先查看源代码

在一个文件的路径中看到了一个/houtai/目录,尝试去访问该页面,报错403。

继续查看源代码,尝试寻找网站管理员的命名习惯,然后找到了这几个链接。

发现管理员习惯使用拼音来命名目录&文件,根据之前得到的/houtai/目录尝试访问/houtai/denglu.php。

在版权信息处找到一个可以上传图片的地方

利用%00截断上传phpinfo

这里有个坑,在返回的路径中有一个目录是editor/php/../attached。

../代表返回上一级目录,在链接或者访问的时候要访问editor/attached/

再使用解析漏洞解析该jpg文件即可解析其中的php代码。

依此再来上传一个webshell

在某些目录可以上传,下载文件,但是无法执行系统命令。

查看phpinfo中的disable_function发现禁用了很多执行系统命令的函数,根据phpinfo找到其php配置文件php.ini。

没有权限去修改,删除,覆盖该配置文件。

五、UDF提权

在conn.php文件中找到root的账号密码,这个密码是root的base64编码,之前注入点跑出来的是明文,现在得以解释为什么登陆不上root了。

该webshell虽然无法修改php.ini配置文件,幸运的是可以在/mysql/lib/plugin目录下上传文件。

因为数据库版本是5.5,所以需要将udf.dll文件上传到/mysql/lib/plugin/目录下。

使用已经得到的root账号登陆phpmyadmin,执行sql语句创建一个可以执行命令的函数:

create function sys_eval returns string soname "lib_mysqludf_sys.dll";

创建成功后测试一下:

这里是system权限。

不知道为什么,除了执行whoami,执行其他命令就会返回16进制的值,很不方便。

六、Cs上线

使用cobalt strick生成powershell payload并在phpmyadmin执行

选择生成powershell command

选择好监听器

复制生成的payload,利用我们创建的udf来执行。

上线,应该是个云主机,并没有内网。

抓取密码,然后准备登陆。

经过测试,他的远程桌面端口是59086。

查看管理员是否在线,昨晚等到1点多还在线就睡了。

今早七点起来发现管理员没在线就远程连接了一下。

一直以为他只是一个卖qq号的骗子,我打开桌面上的某些文件之后,发现他好像是个专门通过申诉方式来盗号的。

七、结尾

一套操作行云流水,回过头来才发现自己R偏了....淦!

注 :此站已提交给相关单位

QQ防盗小提示

  • 不要点击陌生链接。
  • 不要把自己的密码分享给其他人。
  • 不要把自己的验证码给其他人。
  • 不要安装不明的App。
  • 尽量不要在网上进行QQ号的买卖交易。

本文分享自微信公众号 - 程序员阿甘(gh_a2e36d69d566),作者:海鸥

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 你可能对 sizeof(i++) 有点误解。。。

    各位,今天还是按照惯例给大家分享一个C语言容易出现的小错误,这也是跟sizeof有关的,问题虽小,却可管中窥豹,话不多说,代码先行:

    7089bAt@PowerLi
  • 靶机闯关 DC-8

    使用netdiscover二层扫描工具获取靶机IP为192.168.111.137后

    7089bAt@PowerLi
  • 如何远程登陆已知 IP地址的电脑?

    大家好,在我们的学习工作中,远程登陆已知IP地址的电脑可能会经常用到,今天小编就跟大家介绍几种方法,区分windows系统和linux系统:

    7089bAt@PowerLi
  • 必知必会,程序员都应该会的Linux的50个知识点!

    是一套免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年第一次释出,它主要受到Minix和Unix思想的启发,是一个基于PO...

    Java小咖秀
  • 你知道Unity IoC Container是如何创建对象的吗?

    Unity是微软P&P推出的一个开源的IoC框架,最新的官方版本是2.0。Unity之前的版本建立在一个称为ObjectBuild的组件上,熟悉EnterLib...

    蒋金楠
  • 让Nodejs支持H5 History模式(源码分析)

    本文对connect-history-api-fallback库进行了一波源码分析。connect-history-api-fallback是一个用于支持SPA...

    Tusi
  • Github 项目推荐 | Scikit-learn(sklearn)官方文档中文版

    官网地址:scikit-learn(sklearn): http://scikit-learn.org

    AI研习社
  • 软件工程中的部署管道(CI/CD)

    软件工程团队中的管道是一组自动化的流程,使开发人员和DevOps专业人员能够可靠,高效地编译,构建并将代码部署到生产计算平台。没有硬性规定可以说明管道需要什么样...

    泽阳
  • Python版课堂管理系统中使用UDP广播远程关闭客户端程序思路与源码

    本文代码来自于我自己使用开发的一套课堂管理系统,界面是用tkinter编写的,教师端界面如图所示: ? 为了防止学生关闭客户端而接收不到屏幕广播,大概3个月前为...

    Python小屋屋主
  • JVM虚拟机学习一:垃圾回收算法总结

      基本类型的变量保存原始值,即:他代表的值就是数值本身;而引用类型的变量保存引用值。“引用值”代表了某个对象的引用,而不是对象本身,对象本身存放在这个引用值所...

    小勇DW3

扫码关注云+社区

领取腾讯云代金券