偶然的一次滲透測試

偶然的一次拿站

聲明：在本次滲透測試中，沒有動任何數據，也聯繫了管理員

前言

本來，我是在看一篇科普文章的，做著提到了safe3這個漏掃工具，我就向想試一下這個工具如何，利用google hacking找了一個php的站，掃描完提示有可能存在sql注入，那還等什麼就直接開始操練了。

開始注入

輸入一個單引號，報錯了，更具報錯信息可以判斷資料庫類型時mysql。然後就是常規操作，判斷欄位數為8，然後只有第四個欄位才會顯示在頁面上，如下所示：

mark

繼續查詢了下資料庫的版本，以及當前使用的資料庫分別為：

資料庫版本為5.1.48-log

資料庫為qdm123287303_db

繼續查詢發現只有兩個資料庫，一個information_schema，一個上面提到的，管理員賬戶肯定是在上面那個資料庫里，查詢了一下：

mark

顯示有一個hc_admin表，這肯定就是存儲管理員賬號密碼的表了，查詢出來賬號密碼：admin~bee333a826ece70757dbcba4b7930471（Passw0rdhc）

為了跑這個MD5值我還花了2塊大洋。

mark

後台是我一開始就掃出來了（先看看是否能找到後台是個好習慣），直接輸入admin就會跳轉到後台。直接登錄

mark

拿到shell

其實中間有個小插曲，我在掃目錄以及sql注入的過程中，ip被臨時屏蔽掉好幾次，反正就是找各種免費代理繼續整，要是有一個高質量的免費代理自動切換工具就太爽了（可能後面會考慮搞一個）。

老規矩，先找上傳點，後台有一個產品圖庫這麼個選項，其中就可以上傳圖片，先上傳了幾張正常圖片上去看下路徑，路徑在前台對應有產品圖庫這麼個選項，所以很好找，那就準備上傳小馬。

根據多次測試發現，後台應該是對上傳的內容作了檢驗，那我就製造一個圖片馬上傳唄：

cmd下執行上面的命令就會生成圖片馬，然後上傳抓包，把文件名改回php，結果後台報錯了，反正就是一大堆錯誤，還直接爆出了源代碼，我以為沒戲了就換了其他的後綴名試試，例如cer，也都不行

mark

有點心累，但還是要干，我回頭來分析了一下上面爆的錯誤，看看有沒有什麼轉機，結果還真被我找到了突破口，可以看到上面報的錯誤是imagecreatefromphp沒有實現，我上傳cer後綴的時候就是imagecreatefromcer沒有實現，經過測試發現這個函數名就是

合法的函數應該是imagecreatefromjpg等等圖片類型的，一開始的想法是能不能通過對文件名做手腳繞過這裡，試了00截斷等，無解。於是另謀出路，當我往下看報錯信息的時候才發現，我的php文件應該是被傳上去了，從上圖我標記出來的地方可以看到。

後台應該接收了我的文件，只是想要通過我的文件創建圖片失敗了，因為相應的imagecreatefromphp沒有實現，而且報錯信息中甚至爆出了路徑。於是乎菜刀連接之，結果直接鏈接被重置了！！！我的ip又被屏蔽掉了，看來伺服器上還是有東西的。菜刀連接是不行的了，那我直接上傳大馬吧！

mark

提權

webshell已經拿到，接下來就是提權啦，用nmap探測了一下伺服器的操作系統以及埠，不知是namp誤報還是什麼的，反正掃出來操作系統是索尼的一款電視的品牌。。。（什麼TV），但是更具前面各種信息，例如網站根路徑可以知道是linux系統。

linux系統提權以前從沒接觸過，但是既然遇到了就看看吧，nmap掃描埠：

mark

這些東西好像也沒有什麼可利用的，vsftpd也只有2.3.4可以直接提權，mysql資料庫也不是root許可權。

用nc反彈了一個shell,也執行不了命令….所以我就放棄了提權

在這個過程中也學到了一些新東西，比如通過webshell來建立正向代理等等，後續可能會把這些知識點補充上來。

無聊

無聊的時候查了下木馬，發現之前已經有很多前輩上來過了，有三個大馬在上面掛著的，233333

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！