记一次渗透进学弟服务器Getshell的过程

最新推荐文章于 2023-05-15 10:50:26 发布
最新推荐文章于 2023-05-15 10:50:26 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 安全开发 Linux CTF比赛 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lrlhy1/article/details/120124726
版权
CTF比赛 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
Linux
5 篇文章 0 订阅
订阅专栏
安全开发
4 篇文章 0 订阅
订阅专栏

0x00 写在前面

首先说一句,我真的好久 好久 好久 好久 好久没碰过渗透了,一方面是因为太菜,之前从来都没完整的走完一套getshell,半路卡住是常有,做着做着就give up;另一方面是从实习以来一直做的是安全开发相关的工作,以后工作方向大概率也是安全开发而不是攻防。
那为什么我会忽然想起搞学弟的网站呢?事情是这样的,之前有指导过学弟怎么搭建一套作业提交系统,然后学弟就开始自己研究,中间过了好久,我也忘了这码事。
今天晚上他忽然来找我
在这里插入图片描述顺便问他要了网址,也想登上去看看是啥样
在这里插入图片描述
本来以为就是个简单的作业提交接口,打开一看,好家伙,还做了个登录页,瞬间起了杀心23333333
开搞!

0x01 尝试

看到登录框,那SQL注入必须安排上,上来一通操作猛如虎,各种payload试了一遍,结果网页啥回显都没有,顿时觉得很蹊跷,你好歹给个弹窗吧,什么提示都没有是啥意思?于是直接F12,想看下他的js是咋写的,一打开,好家伙,人傻了
在这里插入图片描述
前端直接验证用户名和密码,没有使用cookie标记登录用户身份,就直接返回一个静态页面23333333
在这里插入图片描述
看来学弟还有很长一段路要走啊
继续,打开主界面
在这里插入图片描述
看到文件上传,没抱太大希望,毕竟现在主流安全策略对文件上传限制已经很严格了,随手传了个文件试一下
在这里插入图片描述



笑死
不仅传上去了,还贴心地给你回显出了上传点233333,并且目录里文件可以直接访问
在这里插入图片描述
直接php一句话木马安排上
在这里插入图片描述
竟然404了,看来被秒删,高兴早了
既然这样,先搜集一波信息吧,传了个phpinfo上去,成功打开
在这里插入图片描述
收集到信息:Windows+宝塔面板部署的网站,有点难搞了
再次尝试传另一种一句话木马
在这里插入图片描述
在这里插入图片描述
这会看来成功了,上蚁剑
在这里插入图片描述
这里记一个坑,用assest写的一句话必须要用base64编码连接,别问我为啥,我也不知道
先看下文件管理,因为是用宝塔部署的,权限很高,可以操作所有目录下的文件
在这里插入图片描述
按理来说,现在已经算是getshell了,打开终端就能随意执行命令了
但…
你以为这么简单就结束了吗

0x02 困难

在这里插入图片描述
所有命令返回的都是ret=127,之前从来没遇到过这种情况,上网查找资料得知,宝塔部署的PHP禁掉了大部分命令执行函数,所以蚁剑自然无法执行任何命令
又去搜了一下解决方案,发现可以通过环境变量 LD_PRELOAD 劫持系统函数,加载自己的so文件,来突破disable_functions限制执行操作系统命令
刚准备开始操作,忽然一想,这是windows系统啊,有个毛的环境变量 LD_PRELOAD
于是继续搜索windows下的disable_functions绕过方法,无果…
山重水复疑无路,又想give up,不过这次真不甘心,这都能任意操作文件了,还拿不到shell,于是开始漫无目的地逛服务器里的文件,希望能寻求到一点突破

0x03 突破

因为之前我自己也用过宝塔,所以换个思路,想从宝塔入手,看看是否能直接登进面板
在这里插入图片描述
宝塔的面板监听在8888端口,但是很久很久以前,宝塔就开启了随机登录入口,直接访问是进不去的,url后面需要跟一个一开始生成的随机路径
继续查找关于宝塔的相关信息得知,随机路径信息在C:/BtSoft/panel/data/default.pl文件里
在这里插入图片描述
在这里插入图片描述
接下来就是找用户名和密码了,在同目录下看到有一个default.db文件,推测可能是宝塔使用的SQLite数据库,下载到本地,使用navicat打开
看到users表,存的应该就是管理帐号了
在这里插入图片描述
password字段看上去是md5加密的,扔进解密网站
在这里插入图片描述
很意外,没解出来,再回头一看,表里最后一列是salt字段,看来是加盐了,由于不知道加盐规则,此路不通,淦…

0x04 成功

面板是登不进去了,于是开始翻宝塔的数据库,一张一张表往下看,忽然看到一个config表
在这里插入图片描述
mysql_root ?
忽然想起,学弟在部署宝塔的时候,应该也是同时部署了LNMP环境的,所以这里极有可能通过这个密码登录进本地数据库
继续安排上蚁剑
在这里插入图片描述
成功连上数据库!
于是开启另外一种新思路,利用mysql执行系统命令,正好,前两天在准备面试的时候有看过利用mysql UDF进行提权,这里就可以借助它来实现任意命令执行
因为我们目前已经拿到了文件操作的权限了,所以我们不需要再通过SQL向系统目录里写一个udf文件,直接将udf文件上传到lib/plugin目录下即可
udf文件可以在kali的MSF目录中找到,具体路径为 /usr/share/metasploit-framework/data/exploits/mysql/,这里我们根据得到操作系统信息,下载64位的.dll文件
在这里插入图片描述
再用蚁剑上传
在这里插入图片描述
接下来就可以使用sql语句执行命令了

create function sys_eval returns string soname 'udf.dll';
select * from mysql.func where name = 'sys_eval';

在这里插入图片描述
在这里插入图片描述
成功执行命令,并且可以看到,当前的身份是system,权限很高
接下来就是常规操作了,使用命令创建新用户,然后登录进去
在这里插入图片描述
在这里插入图片描述
使用远程桌面登录服务器
在这里插入图片描述
攻击成功!!!

落日领航员
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【第96题】JAVA高级技术-网络编程15(简易聊天室10:一个服务器与多个客户端通信)
小虚竹的专栏
06-25 3万+
聊天室10
一次面试题getshell
Ms08067安全实验室
07-08 582
【重要提示】因为公众号改了推送规则,一些读者反映有时收不到文章更新,不想错过的老铁可以这样:1、星标:点击公众号头像右上角的小人-然后点击点击右上角的“…”-设为星标。2、分享、赞、在看...
某网站Getshell
热门推荐
江左盟的博客
04-28 1万+
信息收集 访问网站发现前台为静态页面,且不存在robots.txt文件。然后扫描网站目录发现网站后台路径adminxxx/login.jsp,且网站存在目录遍历漏洞,通过该漏洞可查看到一些身份证、姓名、住址和电话号码等敏感信息,如图: 漏洞发现及利用 访问网站后台登录界面,如图: 验证码明文返回 使用sqlmap测试未发现SQL注入漏洞,通过抓包发现验证码直接返回到HTTP Response中,如图: 弱口令 使用Python编写脚本行字典暴破弱口令,然后喝茶打游戏,一段时间后发现弱口令:admin
DC-1 靶机渗透测试(拿shell,提权)
single_g_l的博客
03-17 5377
目录 一. 环境 二. 信息收集 1. 主机发现 2.访问 192.168.1.184:80 三. 利用msfconsole 攻击(拿到flag1) 1. 漏洞利用成功 2. 入会话 ,拿到flag1.txt ---shell ​四. 找到配置文件,获取flag2 五. 修改管理员密码,登录网站,拿到flag3 1. 获取交互式shell, 执行MySQL语句 2. 查看管理员用户 3. 修改管理员密码 六. 用find语句,找到flag4 七. SUID提权,获取...
一次BC站点的GetShell过程
ss810540895的博客
03-30 360
本文的渗透过程比较常规,涵盖了从0到1的完整单目标渗透过程,核心在于快速的代码审计能力,由于这个系统开发比较凌乱,所以故不能采用框架的方式去阅读,故采用危险函数定位是一种有效的方法,最后通过利用宝塔的信息,成功获取到最高的权限,完成渗透测试的目标。本文转自https://forum.butian.net/people/2968,如有侵权,请联系删除。
渗透测试-getshell方法总结
Jian Sun_的博客
02-11 3220
一、管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型行了限制,需要在行绕过操作 1、织梦cms后台为例子 入后台 写入一个一句话木马 长传一个一句话木马 2、数据库备份拿shell 示例:南方数据 v7.0 良精通用企业网站管理系统 方法一: 1.先上一张图马,得到路径 2.选择数据库备份,将图马备份为a.asp 3.访问xxx/xxx/.../a.asp.
程序员之路——一个老程序员对刚上大学的学弟学妹的忠告
03-23
程序员之路——一个老程序员对刚上大学的学弟学妹的忠告。始终认为,对一个初学者来说,IT界的技术风潮是不可追赶。我时常看见自己的DDMM们把课本扔了,去买些价格不菲的诸如C#,VB.Net这样的大部头,这让我感到非常...
刚入职字节渗透岗,学弟非拖着我总结下面试...
weixin_54787877的博客
07-13 1154
刚入职字节渗透岗,学弟非拖着我总结下面试...一张照片导致这篇文章的出炉一、渗透思路1、信息收集2、漏洞挖掘3、漏洞利用&权限提升4、清除测试数据&输出报告5、复测二、常见问题1.拿到一个待检测的站,你觉得应该先做什么?2.判断出网站的`CMS`对渗透有什么意义?3.一个成熟并且相对安全的`CMS`,渗透时扫目录的意义?4.常见的网站服务器容器。5.mysql注入点,用工具对目标站直接写入一句话,需要哪些条件?6.目前已知哪些版本的容器有解析漏洞,具体举例。7.如何手工快速判断目标站是win
程序人生--一个程序员对学弟学妹建议.pdf
10-01
程序人生--一个程序员对学弟学妹建议 本文从程序员的角度,向学弟学妹们提供建议,希望他们能够正确地学习计算机技术,避免一些误区。文中指出了初学者追赶时髦技术的几种误区,例如认为计算机技术等于编程技术、...
一个程序员对学弟学妹建议
04-22
一个程序员对学弟学妹建议
linux 拿shell,linux下备份拿shell[渗透必备]
weixin_30682635的博客
05-14 1218
关于php包含Apache日志的利用,其实也就是利用提交的网址里有php语句,然后再被Apache服务器的日志录,然后php再去包含执行,从而包含了去执行。当然,这种办法最大的弊端是Apache日志肯定会过大,回应的时候当然会超时什么的,所以也是受条件限制的。全当一种研究算了。下面是我的测试过程,我觉得很有意思,你也看看。比如说,在一个php存在包含漏洞就像这样,存在一句php包含漏洞的语句 i...
渗透测试-地基篇-Webshell-织梦dedecms框架(八)
qq_34801745的博客
11-25 1692
** 渗透测试-地基篇-Webshell-织梦dedecms框架(八) ** 作者:大余 时间:2020-11-25 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔,在录地基笔中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔中复现的这些终端或者服务器,都是自行搭建的环境渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣
别致的上传思路导致getshell的案例
zhangge3663的博客
05-31 505
0x01 前言 在某次授权的项目中,客户只要getshell漏洞,经过一番折腾,最后成功拿下shell,完成项目交付,本文将过程和遇到的问题和一些小tips分享给大家。 0x02 SQL注入 经过资产收集,在资产中,找到某个子域名,打开就是个登录框 输入手机号和密码,验证码行登录,结果数据包中并没有验证码,2333 随手加上' 居然报错了,存在mysql的注入,还报错了物理路径,还有密码列名为usepwd(后面有用到) 要是root权限是不是就美滋滋了,结果多想了,不是root权限.
40_Linux下的文件权限管理
sanbanzui2008的博客
03-20 311
st_mode中录文件的权限位st_mode本质上是一个32位的数,类型其实就是unsigned int,这个数里的每一个二制位表示一个含义我们使用的时候使用专门的掩码取出需要的标志位ls -l打印详细列表文件类型和权限列表  注意日期是建档日期文件操作时的权限规则讲真,文件访问操作,不仅与文件的属性有关,还与访问者的权限有关,分别判断很繁琐,用一个函数判断有没有访问权限就是access调用最...
一道CTF题ezinclude引出的蚁剑新姿势
sash1mi
12-11 3375
[NPUCTF2020]ezinclude 0x01 初探题目 查看页面源码 fuzz一波 出来一个dir.php 看看dir.php,关于数组的东西 先留着 说不定下面有用 抓包看看index.php有甚么 一个Hash还是蛮醒目的 结合刚才的页面信息username&password 尝试去拼接url /?name=1&pass=576322dd496b99d07b5b0f7fa7934a25(所给的Hash) 拿到一个flflflflag.php 访问 跳转到了404.h
Webshell之蚁剑流量分析
最新发布
qq_51323560的博客
05-15 2398
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
2021-10-17红日靶场3学习转发自pan墨森大佬(下错了虚拟机,joomla,ew代理,navicat,mysql远程登录渗透思路,dirtycow,bypass_disfunction))
qq_45290991的博客
10-17 734
vulstack红队评估(三) </h1> <div class="clear"></div> <div class="postBody"> <div id="cnblogs_post_body" class="blogpost-body blogpost-body-html"> 一、环境搭建...
Centos执行shell命令返回127错误
qq_21098479的博客
11-23 1万+
Centos执行shell命令返回127错误 在终端可以正常运行 web执行shell 返回127错误 解决方法 应该是运行环境和登录用户的运行环境存在差异造成的 在脚本执行之前,添加. /etc/profile,加载环境变量,问题解决 #!/bin/bash . /etc/profile #脚本执行之前 #PHP $cmd="sudo /www/wwwroot/uiw/shell/...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值