记一次简单渗透到GETshell

admin
admin
admin
135308
文章
109
评论
2024年12月20日10:19:53评论5 views字数 2074阅读6分54秒阅读模式

首先声明:此站点漏洞已提交,未经授权的渗透都是违法行为!

首先声明:此站点漏洞已提交,所有未授权渗透都是违法行为!

OK,那我们开始吧

通过谷歌语法搜索inurl:admin/login.php 公司,本来想找弱口令公益站,没想到意外的事情发生了,听我娓娓道来......

发现了个这样的一个登录页面,第一感觉就是挺普通的,应该是个年代比较久远的站,试了好多弱口令之后,还是没有结果

记一次简单渗透到GETshell

试了试sql注入,但是他提示是用户不存在,这就说明用户不是admin,猜解后台用户名我也没什么经验,于是乎我就看看他这个网站主页有没有存在其他漏洞

记一次简单渗透到GETshell

果然不出我所料,打开主页后是个年代久远的站点,

记一次简单渗透到GETshell

所以我就随便点了几个页面手工先试试有没有union注入,于是我就找到一处,这里直接爆出用户名,所以我们可以百分百判断,没有过滤没有防火墙,直接sqlmap冲他

记一次简单渗透到GETshell

用sqlmap跑出来后发现有这么多库,暂时猜测还有其他旁站,废话不对说,直接找出当前站后台账号密码,继续冲他

记一次简单渗透到GETshell

经过一系列注入搜索,终于找到一个yh的表中存在账号和密码,让我没想到的是,这NM还是明文,我就让我很意外,看来是对自己的网站太有自信了吧,这里有个细节,用户名在他的域名中,密码也是在域名中

接着我们登录后台

记一次简单渗透到GETshell

登录上来时候之后,后台很简单,看了几个页面,只有编辑器中可以上传还上传不了,这里是设置了不可写的权限,所以我们就gg了,有这个功能还不让人用,真是让人百思不得其解,我想了想换其他思路,查了查这个编辑器的公开漏洞,用了网站的poc之后,还是没有结果,这就让我很迷茫了,于是我又沉思了许久,又想出一招,看我接下来操作

记一次简单渗透到GETshell

记一次简单渗透到GETshell

我们看看sqlmap这里看看我们权限,一看是DBA,root权限,这又给我开了一条路啊,我的思路是,通过sqlmap执行sql语句收集一些绝对路径-->读一些敏感文件-->写shell

,OK思路很清晰,我们就试试

记一次简单渗透到GETshell

首先我们收集一些绝对路径,通过sql语句找到数据库路径,那我们这里初步猜测网站根目录为:/alidata/www/

这里我们读一下配置文件看看,一般配置文件都在网站根目录下config.php,我们试试拿着前面猜解的路径看看能不能读到,这很遗憾,啥也没有,所以读一下/etc/passwd,看看是不是没权限,

记一次简单渗透到GETshell

这里是有权限的,那就好办了,那就是路径是错了

记一次简单渗透到GETshell

现在我们简单回顾一下前面的收集的信息,账号和密码都是和域名有关,那么这个路径??所以我再次大胆又尝试了一下,果然不出我所料,直接读出数据库连接文件,里面有数据库的账号和密码,我尝试登录后,没成功,但是回过头仔细一看,NM只能本地登录,

我顿时就无语了,遇到事情不要慌,于是我又产生了一个新的思路,竟然只能本地登录可能存在phpmyadmin,所以我们扫铭感目录看看,这里要说一下,已经试过写shell结果是没权限

记一次简单渗透到GETshell

这里因为我是挂着代理的,所以扫描有点慢,等了许久之后,终于扫完了,但是这个结果,让我很无奈,其实啥也没扫到,这又让我陷入了沉思,我想到数据库中有别的库,那就是有别的站点,所以我去搜搜看看这个IP有没有旁站

记一次简单渗透到GETshell

这里果然有其他站点,有一个站点和库中的名字也对得上,所以我就去访问这个站之后,来了一梭子敏感目录扫描

记一次简单渗透到GETshell

这波非常nice,直接扫到phpmyadmin,我就直接登上去瞧瞧

记一次简单渗透到GETshell

这里我也没有多余的操作,第一个想到的就是mysql outfile写shell,我此时一想前面的绝对路径在sqlmap下写不进去shell,在这里我想在试试,最后还是没成,

select "一句话" into outfile '/alidata/www/xxx/xpphp.php';

记一次简单渗透到GETshell

outfile写shell的条件是1.对web目录需要有写权限能够使用单引号(root),2.知道网站绝对路径,3.secure_file_priv没有具体值。

这里我们看看file_priv有没有值show global variables like '%secure%';

这里也没有具体值,证明可以写入,但是写入了又报错,这是什么情况呢,我判断服务器限制了目录写入权限所以这里行不通。

记一次简单渗透到GETshell

所以我想了想,既然这个网站没有权限写,那么我可以换一个站啊,所以我想大胆猜测一下,当前PHPmyadmin的这个站点的绝对路径,前面的网站路径是/alidata/www/xxx/

那么我们判断其他站点目录也在/alidata/www/,这个目录下,于是我看了又看那些库名,我猜测这些库名也许就是站点目录的名字,所以我决定拿着那些库名,放在绝对路径下一个一个试试,看看哪一个可以写入,经过了我漫长的测试,终于有希望了,写进去之后,就直接去访问看看

记一次简单渗透到GETshell

成功getshell了,这里就收工了,总之还是挺简单的一个站点吧,就当是练练手了,

我也是个小白,有错的地方还请各位大佬指出!

记一次简单渗透到GETshell

在此声明:此站点漏洞已提交,所有未授权渗透都是违法行为!

在此声明:此站点漏洞已提交,所有未授权渗透都是违法行为!

在此声明:此站点漏洞已提交,所有未授权渗透都是违法行为!

原文始发于微信公众号(sec0nd安全):记一次简单渗透到GETshell

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月20日10:19:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次简单渗透到GETshellhttps://cn-sec.com/archives/3526162.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息