渗透测试|记一次曲折而又有趣的渗透

访客4年前关于黑客接单1370

  为什么要叫曲折而又有趣的渗透呢 因为为了拿下这个目标兜兜转转了好几次 , 也踩了几个坑 , 想到的思路一个接着一个被堵死 , 几次都差点想放弃不搞了 , 而陪我提权的小伙伴 ( r4v3n ) 提到通宵最终还是放弃提权 , 我从下午五点半一直日到第二天早上的八点最终拿下目标 webshell 权限的时候感觉是真的爽 , 所以记下此 *** 个纪念。

  目标站 : z*******.com

  IP : 1 . * . * .9

  基本信息 :

  apache

  php5.3.29

  ProFTPD

  linux2.6.32

  shlcms4.2(深喉咙CMS[不是我起的 , 是真的叫这个名字])

  IP对外开放端口 : 21(ProFTPD)、80(404页面)、443(404页面)、8443(虚拟主机控制面板)

  大致情况 : 目标搭建在虚拟主机上 , 配置了 apache 虚拟主机 , 直接访问 IP 将会是 404 页面 , 需要携带域名才能访问到对应的虚拟主机 , 8443 端口是虚拟机主机的控制面板 , 输入对应的账号密码就可以管理对应的网站 , 一般 IDC 都是这种操作 , 类似于星外之类的虚拟主机 。此类服务器一般权限贼低 , 各个方面限制的贼死 , 管理员需要对网站进行管理一般是通过在线的虚拟主机管理平台或 FTP 进行管理 , 不过此类服务器一般都会跑着几百甚至上千个网站 , 比较好找切入口 。

  上来直接正面刚目标主战 , 刚了半天毫无进展 , 前台功能几乎只剩下展示 , 看了半天没有发现任何可以下手的地方 , 山穷水尽只能不抱任何希望随便扫扫 。

  

  果然没什么东西 , 响应 200 的都是首页 和一堆的 403 , 看来 还做了配置 , FCK 编辑器无法正常使用 , 随手 发现是使用 shlcms 进行搭建的 , 后台目录没改 , 尝试了几次密码还是没进入 , 验证码比较简单后面可能会考虑爆破后台

  

  知道是什么 CMS 了就在网上找一找源码和历史漏洞 , 发现乌云上爆过几个漏洞 , 基本都是注入 , 后来知道密码加密方式有点变态后就直接忽略不看了 , 打算自己慢慢搞 . 当年的深喉咙 CMS 已经改名为稻壳 CMS , 还好官网还有 2012 年的下载链接 , 顺利下载到源码 , 准备本地跑起来 , 看看源码找找漏洞什么的 , 此时心情还是很愉悦的 , 美滋滋。

  

  跑的时候发现官网下载的源码好像是坏的 , mmp 本机跑起来以后很多表都没有创建 , 网站只是起来了一个框架 , 无法交互 , 无法使用 , 进不了后台... 但没办法 , 只能凑合着先用用了...

  

  由于很多功能都无法使用 , 基本靠读代码 , 看了半天发现一处疑似任意文件包含 , 绕了好久 , 还是没绕过去 , 放弃了 ( PS : 有审计大手子可以康康能否突破 , 朋友说 require 不能这样截断 , 但我觉得他是把 当成一个文件了并没有进行目录穿越 , 所以无法包含)

  

  发现文件 是用于检查数据库连接的脚本 , 连接地址和账号密码可控并连接后会执行 可利用此脚本连接我的恶意服务端读取目标服务器的文件,伪造 Mysql 恶意服务端读取脚本:https://github.com/Gifts/Rogue-MySql-Server。

  

  先访问一下 不存在

  

  也不存在

  

   目录存在文件都不存在 , 文件被删了 , 漏洞白找了

  

  虽然还找到了别的漏洞 , 但是需要进入后台才能利用 , 不甘心就这样放弃 , 于是继续山穷水尽扫目录 , 使用 对多个二级目录、三级目录进行递归扫描 , 最终在 文件夹中发现 的完整备份 , 和 都存在 , 又美滋滋。

  

  测试一下发现安装脚本不可用 , 即使可用我也不想用 , 动静太大 , 没必要 , 还好 存在 , 只需要利用 读文件就行。

  在我的服务器中运行伪造服务端脚本 , 读取目标 文件试试

  

  我的服务端已收到请求

  

  很顺利的读取到了目标服务器的 文件 , 发现有四百多个用户 , 查找一下目标看看有没有 目标也在 , 没错了 , web 路径大概应该在 下

  

  尝试读取目标源码 并没成功 , 尝试了几个常见的目录也没成功 , 感觉是路径不对 , 但我没有他的绝对路径 , 这套程序抑制了错误提示并不会爆出路径 , 所以通过这个网站获取绝对路径有点困难 . 突然想起了我刚刚读到的 整理了一下 , 提取出了 400 个网站左右 , 于是.... 嘿嘿

  

  批量扫了一波 很快就扫到了一个 , 获取到绝对路径为 尝试去读这个 phpinfo

  

  

  失败了... 尝试读目标的 也失败了 , 看来应该是没有权限 , 挣扎了好久还是什么源码都没读到 , 看来这条路断了... 换个思路

  

  读到的 文件不能浪费 , 毕竟有 400 多个 FTP 用户名 , 这可是渗透中高价值的东西 , 于是提取用户名搭配弱口令 top100 字典来跑 FTP 和虚拟主机控制面板 , 想着先拿个 shell 再说

  

  使用 跑 FTP

  

  跑虚拟主机控制面板

  

  很遗憾 , 但也在意料之中一个也没跑出来 , 因为一般 IDC 提供的空间 FTP 和控制面板 , 均为在线生成的密码 , 密码一般都会比较复杂 , 即使有一定的规律性也不好进行枚举 , 之所以进行爆破是想碰碰运气 , 看看有没有勤劳的网站管理员 , 因为如果一个站长需要频繁的操作网站的话就有很大的几率会修改密码 , 当然也会有选择记住原始密码的管理员。但最终还是没爆破出来 , 不想使用更强的字典了 , 因为尝试次数会越来越多 , 对方日志也越来越大 , 不到无计可施我也不太喜欢这种慢慢等的被动式的渗透方式 , 所以放弃了爆破的想法 , 思路又断 , 只能再换个思路

  手里通过 收集到目标主机上存在的 400 多个网站 , 现在的思路是从这 400 多个网站中挑个软柿子 , 先拿个 shell 再说 , 慢慢再进行提权操作 . 于是提取出域名 , 批量扫一波后台 , 弱口令跑一波(其实可以跑一波 Thinkphp5 的 , 但就是懒... 想到了就是没有进行操作)

  

  还好足够幸运 , 第二个网站管理后台就存在 SQL 注入 , 在登陆框闭合一下 SQL 语句 , 即可任意密码登陆后台 , 且后台可以设置上传后缀名 ,可这沙雕程序即使你把 php 后缀加白 , 你上传 php 文件后缀会自动替换成 txt 黑人问号脸

  

  

  还好沙雕程序足够沙雕很好绕 , 上传文件名为 的文件时,由于没有后缀就绕过了后缀检测 并使用文件名作为后缀名 , 导致绕过了 替换为 的操作

  

  不管怎样总算是有了目标系统的一个 虽然权限极低、无法执行命令、无法越目录、无法读到目标站的信息 , 但聊胜于无

  

  禁止了以下函数 , 还好还好问题不大

  使用 LD_PRELOAD 成功绕过限制执行命令 , 当前权限为当前网站的 ftp 用户权限

  

  发现使用冰蝎进行操作 , 好多文件和目录都看不了 , 但是看属性是有权限的 , 于是反弹到 nc 中尝试提权操作

  

  就这个系统 , 我们两个人一起提到快通宵都没提下来 , 这个目标日了个通宵 , 大部分时间都浪费在了提权上面 , 简直是菜到无话可说

  我们尝试过各种 *** : 脏牛(失败)、SUID(失败)、abrt-action-install-debuginfo-to-abrt-cache(失败)、pt_chown(失败)、rsync往目标读写(失败)

  我使用 SUID 提权的时候发现存在 尝试使用此脚本提权 , 结果提权脚本在目标系统运行各种报错 , 执行的时候好像到 的环节就卡死 , 最后也是以失败告终

  

  提权详情可参考 、 和以下链接:[链接 1 ] [链接 2 ]

  最后我不得不放弃提权 , 收集信息回来搞目标 , 到处翻文件的时候发现 目录可读 , 下面有好几个自写的 脚本 ,发现是使用 定期备份网站源码到指定目录的脚本

  

  遗憾的是即使是备份文件目标的源码也无权访问

  

  不过还好 , 管理员使用 进行文件备份时所产生的日志我们有权限访问 ! ! !

  

  然后通过 的打包日志查看目标站的目录结构和寻找备份文件

  

  发现在 下存在 压缩包 , 我一开始扫描的时候居然没有扫出来 我觉得可能是线程或者是 *** 的原因导致丢包了 小伙伴下载压缩包共 23M , 看来就是目标系统的源码了 , 他找到数据库账号密码 , 微微一笑 发给我说游戏马上就要结束了

  

  结果笑不出来了 , 密码不正确 目标把数据库密码改了 , 我已经习惯了这过山车式的过程了 , 很平常的打开目标系统的备份源码 , 丢进去审计工具例行扫一遍文件 , 将扫描结果与我本机自己下载的源码再对比一下 , 看看有没有管理员自己改过的地方 , 添加的功能新建的文件什么的 , 垂死挣扎一下 . 对比发现目标的文件更少了 , 没啥可突破的地方 , 两个人又一起提权提了半天也没提下来 , 天也快亮 , 小伙伴扛不住睡觉去了 , 而我还在继续肝 , 又陷入死胡同 , 只能再换思路了

  我刚刚尝试使用 SUID 权限提权时发现有个网站的备份文件夹存在 S 权限 , 有点奇怪 , 备份文件夹可读不可写 , 生产目录不可读不可写 , 看备份文件的用户组发现所有文件的组都是 root 的 , 其他网站的用户组而是他们网站自身的 FTP 组 , 于是尝试渗透这个旁站 2 , 看看权限是否会不一样

  

  由于能读取到这个旁站 2 的源码 , 这一切操作也就平平无奇了 , 旁站 2 使用米拓 CMS 搭建 , 读取配置文件获取数据库信息 , 连接数据库获取管理员账号密码 , 登陆后台顺利获得旁站 2 的 , 重复之前的操作执行命令 , 发现是 apache 权限 , 瞬间不困 , 美滋滋 果断反弹 shell 回来

  

  反弹回来 ls 看了一下文件组发现就我的 shell 是 apache 其他都是 root 的 , 奇葩配置

  

  不管了 , 继续向目标渗透 , 尝试使用 apache 权限的 shell 读了一下目标的源码发现可读, 本以为游戏就这样结束了 , 结果发现只是可读并不可写

  

  不过还好可读目标源码 , 就能轻松获取到目标到数据库的连接信息 , 距离游戏结束还剩下 50 %

  

  有了目标系统的数据库权限 , 还得拿下目标后台权限和 shell 权限 , 开始审计的时候已经知道这套 CMS 的加密方式有点变态 , 密文长达 75 位所以我直接跳过解密后台管理员密文的操作 , 我之前在本地搭建了一个和目标相同的 CMS 半成品用于审计 , 我在添加用户的地方下了个断点 , print 一下加密后的密文然后连上目标数据库 , 备份管理员原来的密文 , 再将自己生成的密文 update 过去就行了

  

  顺利的目标登陆后台 , 登陆后将密码修改还原回去即可 , 我的 session 不过期就行

  

  后台有了、数据库也有了、接下来就是拿 shell 了 , 应该会有人有疑问 , 为什么非要执着于拿 shell 呢 因为我想要管理员的明文密码和他的访问记录 , 而这些操作和信息需要拿到 shell 以后修改 php 代码或者 js 代码才能获取到 , 我现在并没有权限去修改目标除数据库以外的任何东西 .

  还好一开始就审计过这套源码 , 后台拿 shell 并没有什么阻碍。登陆后台后它会进行一个智障操作 , 首先去查询出所有的频道 , 然后将频道信息拼接到 标签中再写出到 文件中 , 全程除了有长度限制 , 并没有任何到过滤

  漏洞文件

  

  文件中的 函数会查询出所有的频道信息

  

  然后 中的 自定义函数中进行写出操作

  

  这下就理所当然 GetShell 了 后台 GetShell 操作: 在标题处输入 PHP 代码保存即可

  

  因为网站做了 设置所以无法直接访问 文件,需要在 中触发。最终完美触发 , 游戏终于结束了 , 天也亮了 , 安心睡觉。

  

  搞了个通宵终于拿下了可以睡个安稳觉了 , 接下来的信息收集和权限维持将会是个漫长的过程 , 好久没有搞通宵搞的那么爽了 , 感谢我的小伙伴 r4v3n 开着语音陪了我一个通宵。

  R3start

  2020.02.15

  Referer:https://nosec.org/home/detail/4121.html

  E

  N

  D

相关文章

「简述」池州seo视频培训

「简述」池州seo视频培训

域名最好包括要害词,因为假如你的网站产物种类太多,没步伐写要害词进去那也是没步伐的工作,域名越简短越好。【池州seo视频培训】 SEO优化公司已经存在有15年的时间了SEO简称:搜索引擎优化,前十年前...

做外链的时候要注意什么?

做SEO都需要去做外链,不管是单向的链接还是友情链接,那么我们在做外链的时候要注意什么? 从原创度讲,外链所发布的地方最好是以质量高的软文投稿这种形式去发布,而不是大家一窝蜂的在A5等论坛上去发垃圾...

理论物理学家戴元本院士逝世享年92岁 戴元本个人资料生前事迹曝光

理论物理学家戴元本院士逝世享年92岁 戴元本个人资料生前事迹曝光

中国科学院院士,第七、八、九届全国政协委员,中国科学院理论物理研究所研究员戴元本,因病医治无效,于2020年9月26日在北京逝世,享年92岁。 戴元本, 1928年7月生于江苏南京。1952年毕...

草根访谈:华省省的明星梦

草根访谈:华省省的明星梦

大家好,这里是草根访谈,我是冯耀宗,今天给大家介绍的主角是华省省。华省省:90后、搜索引擎观察员、百度华北地区渠道经理、十佳自媒体人,这几个关键词不得不让人崇拜,更重要的关键词是“演员”。对,没错,一...

伴游友 找号软件-【秦寒雁】

“伴游友 盗号软件-【秦寒雁】” “我回中国台湾做共享的情况下,经常对年青人说,自主创业要馋?适合的地区,不必把眼光局限性在一线城市,成都市、武汉市如今也是有许多 机遇。”他说道,“内地全国各地对中国...

昆明景点?云南昆明最值得去的五个景点

昆明景点?云南昆明最值得去的五个景点

昆明与任何一座大型城市不一样,除了四通八达的城市交通、林立的高楼外,这里却比其他城市多了一份闲适,有着四季都开不败的鲜花,仿若一个大型的城市花园一般。 城市里蕴藏着多个景色秀丽的风景区,把城市和自然...