差点被钓,反手拿下

admin
admin
admin
102803
文章
87
评论
2023年11月27日08:04:22评论21 views字数 1201阅读4分0秒阅读模式
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
——鼹鼠



1.正片开始

在游戏上面认识的好友,说让我帮他充500元的点卷(他的账号被封禁了)。我想了想:既然是朋友能帮则帮。。。。奇怪的是他不让我去平台说给我发链接,这。。。。。
邮箱链接发过来了点开
差点被钓,反手拿下
点击 激活订单
差点被钓,反手拿下
点击 下一步
差点被钓,反手拿下
到这里的时候,我就感觉不对劲了。因为这里竟然需要账号和密码(目前大部分交易网站都使用授权的方式进行登录,因为授权的方式可以避免用户被盗号而找平台理论)我又看了一下域名:
差点被钓,反手拿下
阿里的服务器?不对呀在审查元素(F12)看一下……果断拉黑加删除
躺床上沉思了5秒钟以后,我开始审视这几个钓鱼页面的请求,发现了一处宽字节注入:
差点被钓,反手拿下
看了一下mysql用户,发现是root,小开心,用sqlmap跑,找到当前的数据库czkzx:
差点被钓,反手拿下
这里有个sqlmap的使用技巧:这个注入能用union并且有回显,所以用–technique U指定下注入的技术,但是sqlmap默认只用order by判断1-10列,这里是13列(手动判断出来的),所以我用–union-cols 12-15指定下判断的列数(指定1-15发现sqlmap居然判断不出来)。
拿到网站绝对路径:
差点被钓,反手拿下
看一下拖出来的数据:
差点被钓,反手拿下
……这都是加密的。。。。。
试下XSS,在输入账号密码的地方插入XSS Payload,然后去数据库里查看一下:
差点被钓,反手拿下
发现数据在入库前做成了HTML实体编码:
差点被钓,反手拿下
差点被钓,反手拿下
由于用mysql_connect方式连接的mysql
没办法用update和XSS
接着想到一般这种钓鱼站都会有给fisher发推送邮件的功能,果然在数据库中找到了邮箱和密码:
差点被钓,反手拿下
尝试了一下,发现不对
由于在源码中发现了数据库的root密码,于是我又回到mysql写webshell的思路,唯一的障碍就是gpc,如果能直接通过那就没有这个问题了。
尝试ping一下目标域名,发现是阿里的cdn:
差点被钓,反手拿下
差点被钓,反手拿下
然后我看到了下面的file_get_contents,突然看到了一些希望:
一般mysql默认安装很多是0.0.0.0,但是这不意味着允许root用户远程登录,于是我先通过注入看了下:
差点被钓,反手拿下
看到了 % !!
我用nmap扫了下3306端口,发现端口是开放的:
差点被钓,反手拿下
连接mysql:
差点被钓,反手拿下
尝试写个phpinfo:
差点被钓,反手拿下
直接上t00ls的udf提权脚本:
差点被钓,反手拿下
拿到了权限:
差点被钓,反手拿下
竟然是远程桌面:
差点被钓,反手拿下
差点被钓,反手拿下
创建用户直接登录就行~

真的简简单单,从入门到入狱,可狱可囚,很刑很可铐!


原文始发于微信公众号(天盾信安):差点被钓,反手拿下

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月27日08:04:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   差点被钓,反手拿下https://cn-sec.com/archives/2242394.html

发表评论

匿名网友 填写信息