0x01 前言
通过CVE-2018-1000861 拿到一个反弹shell ,服务器IP在韩国,是个低权限的shell。查看配置文件发现存在phpmyadmin,但是只允许本地连接。故进行反向代理搭建并连接数据库。
0x02 实战过程
通过shell查看到权限较低,大部分操作无法执行。
服务器环境收集:
|
web中间件 |
开放端口号 |
|
php 5.4 / Apache 2.4 |
0.0.0.0:443 |
|
apache-tomcat-8.5.31 |
0.0.0.0:80 |
|
mysql5 |
127.0.0.1:3306 |
|
phpMyAdmin4 |
IP白名单 |
在apache 虚拟主机配置文件/etc/httpd/conf.d/phpMyAdmin.conf 看到有IP白名单限制。
<Directory /usr/share/phpMyAdmin/>AddDefaultCharset UTF-8<IfModule mod_authz_core.c># Apache 2.4<RequireAny>Require ip 127.0.0.1Require ip ::1Require ip xxx.xxx.xxx.xxxRequire ip xxx.xxx.xxx.xxx</RequireAny></IfModule></Directory>
浏览器访问phpMyAdmin 如下图:
在/home/nature/npro/npro.conf 文件中找到mysql 配置信息:
db_name=MYSQLdb_driver=com.mysql.jdbc.Driverdb_url=jdbc:mysql://127.0.0.1:3306/xxx?autoReconnect=true&useUnicode=true&characterEncoding=euc-krdb_userid=xxxdb_password=xxx
网站根目录没有写入权限,无法写入.php文件
思路一:通过nc 反弹shell 执行wget 往apache 网站根目录写入菜刀一句话木马,
或者其它的webshell ,由于没有权限,思路中断。
思路二:往tomcat 网站目录写入jsp 菜刀一句话,同样没有权限写入,思路中断。
思路三:往/tmp 目录写入反向代理工具,然后连接本地mysql 3306端口。
执行wget 往/tmp 写入rssocks 反向代理工具并执行,如下图:
在vps 执行./rcsocks -l 18443 -p 1080 -vv 监听18443 和1080 端口。
反向代理连接成功之后,在本地用Proxifier 连接代理服务器的18443端口,之后用navicat for mysql 连接被攻击服务器本机内网IP和3306端口。
连接目标服务器mysql成功。
0x03 免责声明
本文仅限于技术研究学习,切勿将文中技术细节用作非法用途,如有违者后果自负。
关于我们
“TERRA星环”安全团队正式成立于2020年,是贵州泰若数字科技有限公司旗下以互联网攻防技术研究为目标的安全团队。团队核心成员长期从事渗透测试、代码审计、应急响应等安服工作,多次参与国家、省级攻防演练行动,具备丰富的安服及攻防对抗经验。
团队专注于漏洞挖掘、漏洞研究、红蓝对抗、CTF夺旗、溯源取证、威胁情报、代码审计、逆向分析等研究。对外提供安全评估、安全培训、安全咨询、安全集成、应急响应等服务。
原文始发于微信公众号(TERRA星环安全团队):【渗透测试】反向代理连接内网应用实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论