文章來源:先知社區(qū)
地址:https://xz.aliyun.com/t/11132作者:Fright一Moch
0x01 事件起因 一個好兄弟QQ號被盜了��,當(dāng)時給我說讓我看一下
于是我懷著好奇的心打開網(wǎng)站��,不過和官網(wǎng)倒是有幾分相似�����,怪不得會容易中旁站查找(一般這種網(wǎng)站都是打一地方換一個地方)
查找注冊信息端口信息可以看出這個人是有寶塔面板����,而且22端口也是開放的 后面查找到網(wǎng)站注冊人信息全是假的,這個網(wǎng)站使用的人家的QQ郵箱��,別人的身份信息注冊的網(wǎng)站和域名��,最后如下總結(jié) 個人信息泄露--》被注冊域名--》本人并不知情--》在我們之前很多人都被騙過
翻閱個人空間可以看到這個人并不知情�,也是受害者,自己身份信息被盜用�,確實挺慘的 0x03 開始滲透測試 御劍掃描
發(fā)現(xiàn)沒有結(jié)果,于是我嘗試著登錄窗口入手�,先抓包分析在u和p參數(shù)位置發(fā)現(xiàn)有注入,直接放在sqlmap里面開始跑�,發(fā)現(xiàn)有時間盲注和報錯注入選擇報錯注入sqlmap.py -r g:\1.txt --random-agent --skip-waf -v3 --dbs --batch --threads 10 --technique E
跑到最后只能爆出w11這個庫,而且想繼續(xù)爆出表�����,發(fā)現(xiàn)直接502應(yīng)該是直接給我攔截了吧
當(dāng)我一籌莫展時候����,我選擇了更換字典,繼續(xù)掃描目錄字典一換果然不一樣�,掃描出一個2.rar,猜測是網(wǎng)站備份文件�,進(jìn)去查看config文件$set_username='admin';$set_password='e19d5cd5af0378da05f63f891c7467af';$set_loginauth='123456';$set_loginrnd='YFfd33mV2MrKwDenkecYWZETWgUwMV';$set_outtime='60';$set_loginkey='1';
/config/sbak/admin.php賬號/密碼admin/abcd1234
當(dāng)我繼續(xù)打下去發(fā)現(xiàn)對方應(yīng)該是發(fā)現(xiàn)了����,然后跑路了。不過沒事�����,有旁站(看來開始收集的旁站果然沒問題) https://m.jb51.net/hack/378968.html替換config里面的字符,我把它替換成哥斯拉和冰蝎的木馬����,但是在替換前需要連接遠(yuǎn)程數(shù)據(jù)庫,由于我沒有遠(yuǎn)程庫�����,我把自己虛擬機(jī)穿透出去在連接 進(jìn)入mysql:mysql -uroot -p運行mysql:use mysql;查看用戶表:SELECT `Host`,`User` FROM user;更新用戶表:UPDATE user SET `Host` = '%' WHERE `User` = 'root' LIMIT 1;強制刷新權(quán)限:flush privileges;
替換文件(直接替換的是config.php里面的字符)/config/sbak/bdata/yy_gxjbh58_com_20210303185300/config.php
密碼如下:哥斯拉:config123 冰蝎:rebeyond
分析目錄結(jié)構(gòu)�,發(fā)現(xiàn)網(wǎng)站管理后臺如下發(fā)現(xiàn)網(wǎng)站管理員后臺,口令復(fù)用:admin/abcd1234
登錄進(jìn)去�,發(fā)現(xiàn)收集到的大量個人信息 權(quán)限很低只有一個www權(quán)限而且啥也干不了 繞過disable_function,工作原理如下 為了安全,運維人員會禁用PHP的一些“危險”函數(shù),將其寫在php.ini配置文件中,就是我們所說的disable_functions了��。例如:
passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,link等
導(dǎo)致我們無法執(zhí)行命令��,好在最新版哥斯拉貌似有插件��,管他的���,直接試一遍�,繞過成功那就說明能執(zhí)行反彈shell還是老打法�����,把kali虛擬機(jī)的8888端口穿透出去然后提權(quán)����,在提權(quán)之前發(fā)現(xiàn)有人打過最后我緊急聯(lián)系了幾個同學(xué)���,大多數(shù)為貴州同學(xué)�,幾乎全校淪陷�,當(dāng)時同學(xué)接到我電話都是很感激,很驚訝
其實我想說�����,作為一名學(xué)習(xí)網(wǎng)安有一段時間的我來說��,真正感受到了用自己的所學(xué)的對于社會的價值�����,是讓我體會到了白帽黑客的魄力�����,為之我還要更加努力去學(xué)習(xí)更多網(wǎng)安知識
|
