宝塔后渗透-添加用户_反弹shell

最新推荐文章于 2025-09-29 09:15:00 发布
原创 最新推荐文章于 2025-09-29 09:15:00 发布 · 4.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #乌鸦安全 #渗透测试 #宝塔 #权限维持

本文介绍了两种获取宝塔(BT)后台权限的方法:一是直接获得BT后台权限后如何远程控制服务器;二是通过添加新用户的方式绕过原有认证。文章详细解释了如何通过计划任务反弹Shell以及如何利用SQLite数据库文件default.db来添加新用户。

更新时间:2022年11月21日
image.png

1. 背景介绍

对于想拿到bt后台来说,非常的艰难:无非是通过bypass之后提权,直接拿到服务器的root权限,然后再去宝塔后台。
当然,还有一种运气十分爆棚的方法:发现了bt的账密信息,可以直接登陆了bt后台(这种情况确实在实战中遇到过)
所以在这里就有了两个方向:

  • 直接拿到了bt的后台,想去服务器上大有可为
  • 拿到了服务器的权限,执行bt命令之后,利用原来的账密发现无法登录bt后台,但是又想去bt的后台上逛逛。

针对以上两种情况来说,在这里一一进行学习分析。

2. 有BT后台

这种是拿到bt的后台之后,想去服务器上逛逛,至于bt后台如何来的,有很多方法,也有很多的可能,我们只分析如何去服务器上。
bt的后台里面可以建一个计划任务进行反弹shell到你的vps上:

image.png

在计划任务中,可以通过bash反弹的方式将shell弹到你的vps上去,此时先使用你的vps生成一个反弹的命令:

image.png

在任务计划中,选择shell脚本模式,添加任务名称,自定义执行周期,在收到反弹的shell之后,停止或者删除任务计划:

image.png

在你的vps上开启监听模式:

image.png

此时去执行任务计划,即可收到弹回来的shell

image.png

image.png

3. 添加BT用户

在大部分情况下,我们得到的都是一个root权限的shell(没有root的请先提权到root),此时我们想去访问bt的话,只需要在命令行里面输入命令:bt,再输入14即可:

image.png

此时就会出现默认的bt初始账号密码,但是大部分情况下,你去登录的话,会发现密码已经被修改过了:

image.png

此时如果重置bt的密码的话,会非常容易被发现,我们可以选择利用BT的数据库给自己添加一个账号密码上去。

3.1 下载宝塔数据库文件

宝塔的数据库文件位置:
bt数据库位置:/www/server/panel/data/default.db
思路是你需要将该文件下载到本地,添加信息之后再将文件上传替换原来的default.db
下载到本地的方法也有很多,可以直接借助bt中的网站,将default.db复制过来之后,将权限修改为777,防止因为权限问题,无法下载该文件。
在这里注意:直接在bt的机器上利用Python起一个http服务,是无法直接访问的,因为bt对端口的管控比较严格。

3.2 添加用户

下载下来之后,使用navicat数据库管理工具打开该文件,具体的方法如下:
首先新建一个SQLite的数据库连接,然后打开这个下载下来的db文件,不用写密码:

image.png

在这里不用自己写密码,后面它会自动填充:

image.png

找到users表,然后添加数据:
因为bt用户的加密方式为:

password = md5(md5(md5(password) + '' + '_bt.cn') + salt)

所以如果想要自行添加新的用户,可以先把default.db下载到本地,此时里面有原来的用户密码,再在bt里面操作,选择5,修改用户密码,再下载修改之后的default.db文件,将修改之后的default.db中的内容添加到第一个default.db里面去,即可完成用户的新增:

这个方法是前台可以自己生成,也可以用以前的,记得id应该不要和第一个重复,不然会报错:

image.png
新增之后,将文件保存,然后将bt端的db文件备份,再替换掉原来的db文件,直接访问,利用新的账密即可登录成功。

4. 注意事项

在新增bt用户的过程中,一定要记得备份原来的default.db文件,防止出现异常。。。

渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 4246
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
宝塔上线前后端项目操作
月亮被咬碎成星星的博客
01-29 3880
腾讯云宝塔部署项目保姆级教学
隐接口和宝塔渗透
最新发布
qq_45908842的博客
09-29 287
隐接口和宝塔渗透
宝塔面板下安装thinkphp6 和 thinkeasyadmin 简易后台管理系统
Mark_H___的博客
12-15 3441
宝塔面板配置thinkphp6和thinkeasyadmin 简易后台管理系统
宝塔面板:文件管理设置权限功能新增自定义用户
m0_57658885的博客
09-08 2146
在日常使用宝塔过程中,发现宝塔面板自带的文件权限设置工具在设置权限时所有者列表的用户是固定的,只有www​、mysql​、www​。但是自己的项目中,还有其他用户,比如tomcat​会使用,每次在操作文件夹时,都要通过 ssh 链接后进行 chown​或者 chmod​操作,很不方便。为了能在宝塔面板中操作,通过测试可以通过以下步骤实现我的需求。
网络安全 day5 --- 反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
2302_81156108的博客
09-07 2438
学习网络安全的一些心得希望对大家起到一些帮助
渗透测试-反弹Pikachu平台服务器shell
m0_63917373的博客
07-30 2212
反弹shell pikachu漏洞测试 Windows的cmd权限反弹 netcat工具的使用
2021-11-6完整linux内网渗透实战笔记(域/非域对于linux其实区别不大+宝塔后台渗透+稻壳DocCMSsql注入+交互式shell用python解决乱码问题)
qq_45290991的博客
11-14 7329
外网打点发现web服务器有: DocCMS的sql需要url双重编码绕过,所以sqlmap要tamper: sqlmap.py -u "http://网站ip/search/?keyword=123" --tamper=chardoubleencode 代码审计之_doccms2016漏洞_whojoe的博客-CSDN博客 代码审计之DocCms漏洞分析-阿里云开发者社区 得到:current user: 'www_ddd4_com@localhost' sqlmap identifie.
059 提权与反弹shell
鸡蛋炒鸡蛋
04-07 7481
文章目录一:权限提升概述二:windows提权2.1: 启动项提权2.2:系统漏洞提权2.2.1:笔记2.2.2:实验 一:权限提升概述 水平权限提升(越权) 同级账户间切换身份,比如有ABC三个用户,AB是普通用户只能自己发帖,然后只能删除自己的贴,C是管理员能删除所有人的帖子,然后突然A可以删除B的帖子了,这就是越权。 垂直权限提升 普通用户获得了管理员的权限 web用户直接提权成管理员用户     二:windows提权 前提: 基于webshell提权,也就是说目标机器存在大马文
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6539
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
浅谈宝塔渗透手法,从常见漏洞 聊到 宝塔维权 再到 bypass disable_functions原理
milu_Sec的博客
12-31 8482
公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma为什么要介绍这个洞呢,因为phpmyadmin这里好做文章,常见手法有into outfile写shell,日志get shell,UDF getshell,MOF提权,网上教程一大堆,这里麋鹿就不浪费大家时间了,不熟悉的读者可以百度一下。
CFS三层宝塔内网渗透
m0_65096687的博客
04-09 942
1.靶场搭建自行百度一共有三个目标targetkali攻击机与targe1网段是一致。因为是内网渗透。进入正题直接访问目标主机,发现是thinkphp5。直接百度thinkphp5的exp发现利用漏洞上传一句话木马 上传后使用蚁剑进行连接拿到权限后输入 uname-a 来查看当前主机的操作系统然后在kali中msf线上找马生成一个linux x64 的木马然后使用蚁剑传入target1中获取shell(我是一个初学者,我我的理解是使用普通的蚁剑获取shell后再使用隧道代理会有些麻烦,我也不会。所以
记一次绕过宝塔防火墙的BC站渗透
小司机的奥拓
05-27 1806
由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息这是一个查询代理帐号的站 url输入admin 自动跳转至后台看这个参数 猜测可能是thinkCMFthinkcmf正好有一个RCE 可以尝试一下白屏是个好兆头 应该是成功了访问一下尝试蚁剑连接 直接报错 猜测可能遇到防火墙了然后再回来看一下shell 手动尝试一个phpinfo果然存在宝塔防火墙。
【内网穿透】Linux服务使用宝塔面板搭建网站,并内网穿透实现公网远程访问
杭电码农-NEO的博客
07-06 1765
使用宝塔面板快速搭建网站,并内网穿透实现公网远程访问
宝塔 设置全局的数据库用户
王兆镇的博客
09-10 1432
phpmyadmin 打开用户 添加用户 不负责任的说哈,全选没错,安全性自己想哈 点击执行
反弹shell的方法总结(base64绕过等等)
热门推荐
weixin_50464560的博客
04-01 1万+
前言 什么是反弹shell(reverse shell)? 就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么需要反弹shell反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。以下详细介绍Win
实战|记一次绕过宝塔防火墙的BC站渗透
zhangge3663的博客
05-06 1万+
0x00 信息收集 由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参数,猜测可能是thinkCMF 0x01 getshell thinkcmf正好有一个RCE 可以尝试一下 ?a=fetch&templateFile=public/index&prefix='' &content=<php>file_put_content
实战绕过宝塔PHP disable_function 限制getshell
zhangge3663的博客
03-09 4319
一、这次做的目标站点是一个某XX站点,通过前期的信息收集,可以发现该站点是由宝塔(一般根服务器开放端口888、8888和报错界面判定)+ShuipfCMS框架搭建的 端口信息 后台 二、默认的ShuipfCMS系统后台访问http://www.xxx.com/admin/会自动跳转到后台,但是这个站点感觉是被二次开发过的,站点后台和前端页面不在同一个子域名下,该后台还是通过收集子域名得到的,访问某xxx.xxx.com会自动跳转到后台登录页面。 三、这里想着尝试绕过验证码来对后台用户名密码进
宝塔在mysql-添加数据库--127.0.0.1状态:异常。是什么原因?如何处理
09-05
### 宝塔在 MySQL 添加数据库时 127.0.0.1 状态异常的原因 #### MySQL 服务未启动 若 MySQL 服务未正常启动,宝塔面板无法连接到本地 MySQL 服务(127.0.0.1 代表本地),从而导致状态异常。可能是由于服务器重启、服务崩溃等原因造成服务未启动。 #### 端口被占用 MySQL 默认使用 3306 端口,如果该端口被其他程序占用,宝塔面板无法通过 127.0.0.1:3306 连接到 MySQL 服务,进而出现状态异常。 #### MySQL 配置文件错误 my.cnf 等 MySQL 配置文件中存在错误配置,如监听地址、端口号设置错误,会使 MySQL 服务无法正常监听 127.0.0.1:3306,导致连接异常。 #### 权限问题 宝塔面板没有足够的权限访问 MySQL 服务,或者 MySQL 服务配置了错误的权限,不允许本地地址(127.0.0.1)连接,会出现状态异常。 #### 防火墙限制 防火墙可能阻止了宝塔面板对 MySQL 服务的访问。如果防火墙规则中禁止了 127.0.0.1 对 3306 端口的访问,就会导致连接异常。 ### 解决办法 #### 启动 MySQL 服务 可以通过宝塔面板的软件管理,找到 MySQL 服务,点击启动按钮。也可以使用命令行启动,以 CentOS 为例: ```bash systemctl start mysqld ``` #### 检查并释放端口 使用以下命令检查 3306 端口是否被占用: ```bash netstat -tlnp | grep 3306 ``` 如果端口被占用,找到占用该端口的程序,停止该程序或者修改其使用的端口。 #### 检查并修正 MySQL 配置文件 打开 MySQL 的配置文件(通常为 /etc/my.cnf),检查监听地址和端口号是否正确: ```ini [mysqld] bind-address = 127.0.0.1 port = 3306 ``` 修改后重启 MySQL 服务: ```bash systemctl restart mysqld ``` #### 检查并修正权限 可以使用以下 SQL 语句确保 root 用户可以从本地(127.0.0.1)连接: ```sql GRANT ALL PRIVILEGES ON *.* TO 'root'@'127.0.0.1' IDENTIFIED BY 'your_password' WITH GRANT OPTION; FLUSH PRIVILEGES; ``` 其中 'your_password' 是 root 用户的密码。 #### 配置防火墙规则 如果使用的是 CentOS 的 firewalld 防火墙,可以使用以下命令开放 3306 端口: ```bash firewall-cmd --zone=public --add-port=3306/tcp --permanent firewall-cmd --reload ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值