提权方式
在MySQL插件目录中存在udf.dll,目录是:C:phpstudy_proExtensionsMySQL5.5.29libplugin
所以提权方式是udf
当然也可以登录到phpmyadmin看二进制日志,有利用udf插件执行命令的日志
提交udf即可
黑客上传的Webshell
黑客上传的Webshell路径在C:phpstudy_proWWWdedeinc,是一个变形的一句话木马
删除即修复成功
黑客的账号
使用net user命令看所有用户,发现存在一个harry用户
进入控制面板删除账户即可
删除后即可修复成功
后门木马
看任务管理器,存在system6.exe异常进程
查看资源监视器,发现system6.exe进程的远程地址为:23.23.23.23
提交23.23.23.23即可
加固服务器
题目要求设置密码策略大于等于8位
在管理工具-本地安全策略设置
修改密码长度最小值为8
修改完成后check即可修复成功
修复漏洞
登录phpmyadmin发现secure_file_priv选项为空
在my.ini将其修改为NULL
修改完成之后需要重启MySQL服务
重启后即可修复成功
删除木马
前面发现有system6.exe异常进程,在任务管理器中结束该进程
丢到回收站里彻底删除即可
删除后check即可过关
原文始发于微信公众号(7coinSec):Bugku应急加固【简单】WriteUp
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论