权限丢失之时,getshell之日

admin 2021年7月29日01:17:11评论100 views字数 1025阅读3分25秒阅读模式

权限丢失之时,getshell之日


前言:

        当初手头有个站,jsp的,root权限运行,轻而易举拿到了root,然后做了bugscan的节点..就这么过了几个月吧。某一天发现bugscan节点掉了,只依稀记得IP地址,但是忘了怎么撸下来的。为了避免自己当节点的麻烦,决定再撸一次。
        以下图片打码尽量严谨,若有露点之处,还请指出。


0x01

        终于理解为什么都用0x01 而不是用1 一 这种序号了,果然是0x01看起来舒服些。权限丢失之时,getshell之日 

        首先,通过IP反查一下域名,发现域名做的类似泛解析,即多个二级域名解析在了同一个IP上。

权限丢失之时,getshell之日


        拿到域名之后,挨个访问下,发现皆为此类登陆口:

权限丢失之时,getshell之日


        思考了以下,此类网站,内容应该大部分都在登录之后才可见。由于网站提供服务的对象为特殊群体,猜想应该会有很多弱口令。于是通过google搜索下,果然有了结果:

权限丢失之时,getshell之日


        期间试过多个关键词,终于在“默认密码” 时发现好玩的东西了。根据如上提示,猜想肯定存在弱口令的情况。通过Burpsuite,将示例的学号递加,密码字段设置为000000进行爆破。肯定会有成功的!


        然后,我就被墙了。后来一想,应该burp速度太快,估计被防火墙当做CC攻击给屏蔽IP了..

        不管了,挂个代理继续搞。本来想写个脚本的,虽然也花不了多久,但总是要费劲儿。还是手动试试好了。
        终于,我进去了...(由于写文章时代理已经断开,我就不截图了)。在登录后发现一个任意文件上传,成功getshell。

        上菜刀:


权限丢失之时,getshell之日

        看看权限:

权限丢失之时,getshell之日


        OK,添加账号:

useradd -u 0 -g root daemenecho 123aaaccc!!! | passwd --stdin daemen

        然后SSH连接之。

        上去之后发现以前添加的bugscan的进程被kill掉了。于是乎,su 切换到root(此时切换至root用户不需要root密码)。在/usr/bin下面新建一个文件,命名的话,反正看起来就像系统文件。在里面添加上bugscan节点需要执行的那条命令,并加上执行权限后,nohup bash 新建的文件 & >> /dev/null。
估摸着这次管理员上来不好发现了吧权限丢失之时,getshell之日 

        后续擦屁股的东西就不再写了,通过简单查看网站可以判断出管理员并不上心,所以...我懒得擦了。

        总结了一下,感觉很多时候渗透的思路,要从网站本身功能入手可能会有收获。


权限丢失之时,getshell之日

本文始发于微信公众号(T00ls):权限丢失之时,getshell之日

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月29日01:17:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   权限丢失之时,getshell之日http://cn-sec.com/archives/350642.html

发表评论

匿名网友 填写信息