渗透过程一则

目标:xxxx.com

信息收集:

通过大小写判断,服务器为Linux

所以环境就是php+mysql+linux+apache

然后是joomla1.5的版本

访问language/en-GB/en-GB.xml得到详细版本信息

并且在随手测试时发现目标存在phpmyadmin

解析ip: 47.x.x.x 通多超级ping确认是否存在CDN,结果为没有

扫描端口时发现存在防火墙,一扫即拉黑IP,短则几分钟,长则几个小时….

但还是通过firefoxshodan插件得到一些端口信息

whois信息做了保护,所以查询过后没有任何收获

再查了下旁站

大概有40-50个吧,没错的话这个站应该就是托管的了。

既然知道目标是joomla并且知道详细版本,所以先google找了一些以往爆过的漏洞,并且用joomscan进行了扫描,这么老的版本,爆出来的漏洞非常的多。

足足有十几二十个吧,但是经过测试,全部失败,或许是目标已经补了,也或许是姿势不对吧。

万般无奈下搞起了旁站,虽然知道这种站提权不会太简单,但总是要试试的。

不能使用扫描器,一扫即挂,什么目录扫描工具、awvs也纷纷没有派上用场。

虽然发现很多后台可以爆破,包括phpmyadmin,但也是毫无办法,本来想用tor解决这个问题的,但是,tor实在是太慢太慢(https://blog.00l.in/2017/10/175.html)

一个个站点翻后发现存在问题站点

http://radi.xxxxt.com/rc.php?pro=cHJvMDE=&ch=2&file=cHJvMDFfcDFfMi5tcDM=

测试发现file=文件名的base64加密

尝试../../../../../../../../../../../../../../../../../etc/passwd base64加密后进行访问

作为一个不懂英文的土鳖,拿去翻译了下

大概就是不能跨到其他用户目录读取文件的意思吧

然后我又试了下报错页面爆出来的路径

虽然证明了这个漏洞的存在,但是并没有什么卵用、、、因为、、、我并没有找到他的数据库配置文件还有后台什么的

但是对比前面收集到的旁站发现,这个主域名下还有个blog的子域名,wordpress,通过这个路径拼了下wordpress的绝对路径,人品爆发的下载到了wordpress的数据库配置文件,成功进入phpmyadmin,备份原用户密码修改新的密码并进入后台

但还是没什么卵用,因为没有任何写入权限,最新的wordpress也没爆什么漏洞。

phpmyadmin连读文件都是失败,所以更不谈拿shell。当然也试了一波phpmyadmin漏洞,还有就是数据库用户密码试了下ftp,然并卵。

突破点

发现一个discuz7.2的站,这站漏洞多呀,本以为拿shell也是分分钟的事了,结果就是我试了之前爆过的几个代码执行统统失败,通过注入拿到后台,但是拿shell也是各种失败(本地测试成功),也因为自己之前一直没研究过dz这个东西吧。还是t00ls强大,提问后没多久一位表哥给出答案


在本地测试发现上传后会在站点/forumdata/plugins生成cool.lang.php

访问cool.lang.php生成webshell    forumdata/plugins/a.php

成功getshell后万分欣喜,本以为起码可以执行命令尝试提权了,结果却是


虽然无奈但也没有放弃的念头

在T00ls找到以下两个方法:

https://www.t00ls.net/articles-44969.html

https://www.t00ls.net/viewthread.php?tid=16954&highlight=%E5%AE%89%E5%85%A8%E6%A8%A1%E5%BC%8F

但结果不尽人意。

最后到google找到以下方法成功执行命令,贴一下整理出来的关键信息

编辑hack.c文件

编译成可执行文件再编译so文件

再用php调用so文件,访问php后命令被执行


测试发现权限为apache权限,/etc/passwd可读,比普通用户权限又稍微高了那么一点点,虽然不可以列普通用户的目录,但是其他用户的web目录却是可读的

这个时候方向就很明确了,如果能猜到目标站点的目录,是不是就可直接读取joomla数据库配置文件、然后到phpmyadmin改密码拿shell了呢?

手工在目标站点测试看是否存在phpinfo、文件报错,遗憾的是并没有。。。

读取./etc/apache2/apache2.conf失败,没有权限

读取/var/lib/mysql/mysql/user.MYD失败,没有权限

读取/etc/passwd、列目录/var/lib/mysql成功

在数据库目录,一个这样的库名引起了我的注意

drwx—— 2 mysqlmysql 12288 Feb 16 2011 xxxx_joom1

通过之前得到的路径规律猜测路径

最后成功找到目标站点路径,本想读配置文件进数据库拿管理员的,在某表哥提醒下发现存在可写目录,直接echo一句话木马,收工


总结:

此次渗透没什么技术含量,成功主要还是耐心的去尝试了,要相信努力后总是会有回报的嘛

2 thoughts on “渗透过程一则

  1. 本屌大半夜来吐槽你的博客了~~~
    看了下你写的文章,发现你对信息收集这块好执着哟。。。
    另外你排版很差劲,图片也是限制了大小,全是小图,看都看不清。。。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注