目标站点:http://www.xxxx.com 一个新闻发布网站,网站底部备案信息是假的,服务器只能放到国外,这样免备案,PHPCMS核心,鉴于隐私,这里就不写了,以下都用A网站代替。
渗透第一步:根据域名查到IP,扫一遍开放端口,查看开启的服务
分析:80 web端口 21 FTP端口 3306 MYSQL服务
3389RDP服务 8090端口未知(初步猜测可能是phpmyadmin的web端口)
访问8090端口
猜错了,不是phpmyadmin,是N点主机管理系统,百度之,看是否有能利用的漏洞
思路一:利用通杀漏洞getshell
详见:http://www.secpulse.com/archives/24568.html
这个突破点专门写了一个文章http://lzsec.lofter.com/post/1ea7ea64_f3385c5
不过这个突破点断掉了,虽然能拿到数据库,但是里边是密文,我咨询了一些大牛,解密方法暂时没研究出来,对加密学感兴趣的可以去研究研究,一些有用的信息已经在文章里写出来了。
思路二:通过爆破FTP,上传一句话getshell
通过扫端口我们已经知道A主机开放21端口,想到能否通过ftp爆破,得到上传权限,进行getshell。
可是ftp用户名从哪找呢?感谢N点的数据库
sitehost表里边存在ftpuser字段,get下来,这样就大大提高了准确度,ftppss字段加密了,研究了一下有规律但是不知道如何逆向解密,只能通过爆破,在这里推荐一款ftp爆破工具ftpscan
只爆到一个ftp账号:域名/域名123 %username%123 这个密码爆到的 有很大一部分站长都这样设置ftp密码,很激动,心想着能通过ftp传一句话了然后getshell了
然而这个并不是网站的所在目录,有上传权限但是一句话并不能通过http进行解析,这一思路再次破产。
思路三:通过爆破3389端口进行渗透
简单粗暴但是这个成功率很低,但是我们总要想办法提高成功率,3389端口爆破的核心是啥?密码字典啊,我通过查whois等一系列社工手段,搜集了一些信息,并把信息做成了字典,放到DUbrute里边跑了一下,还是没有得到结果。该思路破产。
思路四:通过phpcms漏洞提权
看了一下版本是9.6最新版本的,我记着4月份刚爆出一个漏洞,就想试着通过phpcms getshell
姿势详见http://www.freebuf.com/vuls/131648.html
可是~可是管理员吧注册通道给关了,可能他已经发现此漏洞了。这个姿势不行了。
可是一时半会想不出其他思路,只能在一旁搁置着。
思路五:扫描网站备份文件,下载备份文件,读取配置信息getshell
无意中试着扫描网站目录,用wwwscan扫了一中午,午睡醒发现出结果了,一看是web.rar 初步猜测是网站备份文件,这样可以读取配置信息进行提权了
不过这个速度是没谁了,一共237M,不到20k/s 我下载了一下午,还好中间没有中断,这个断了是不支持断点续传的,只能从头开始。
因为是phpcms内核,解压后我们进入caches目录找到database.php 文件
这样得到了mysql的密码,这个案例中N点管理账号密码也是这个,ftp密码也是这个,于是连接FTP上传一句话利用了iis6.0的解析漏洞111.php:.jpg
上菜刀
至此getshell成功,下面进入提权阶段!
因为采用的是php+mysql环境 首先想到的是利用mysql的udf提权
如果采用udf提权需要获得root的密码,我们查找
mysql/data/mysql/user.MYD文件里面存放了mysql用户的账号和密码
我们拿去cmd5解密
这一般是解不出来的,希望再度破灭,在我用菜刀浏览D盘的时候我看到了一个pass.txt
的文件(站长朋友注意,密码文件别乱放,我还遇到过在管理员桌面放了一个txt专门记录各个服务器密码的,切忌!)
因此,我们就能udf提权了,udf提权导出dll文件首先要查看版本
MYSQL 5.1以下版本导出路径:↓
C:/Windows/udf.dll
MYSQL 5.1以上版本
必须要把udf.dll文件导出到MYSQL安装目录下的lib/plugin文件夹下才能创建自定义函数
需要创建plugin目录,才能导入。
导出到的目录C:/Program Files/phpStudy/MySQL/lib/plugin
添加账户,提升管理员组很顺畅,mstsc登录之~
至此整个渗透过程结束
