本文作者: 重生信安 - 海鷗
一帽哑、前言 ?
在信息搜集另一個(gè)網(wǎng)站的時(shí)候屡谐,湊巧發(fā)現(xiàn)了該網(wǎng)站。經(jīng)過在百度貼吧的搜索,發(fā)現(xiàn)該網(wǎng)站是騙子網(wǎng)站阻荒。這才有接下來(lái)的劇情~image
二、注入
隨手打開一個(gè)頁(yè)面油猫,看到?id=171感覺存在注入毡证。image
image
使用sqlmap注入,得到:
image
(2)root數(shù)據(jù)庫(kù)賬號(hào)密碼及另一個(gè)數(shù)據(jù)庫(kù)賬號(hào)密碼
三诈茧、嘗試PHPMyAdmin寫Shell
image
image
此賬號(hào)沒有寫文件的權(quán)限缔杉,只能做一些信息收集霸琴。
select @@datedir #數(shù)據(jù)庫(kù)存放數(shù)據(jù)的目錄
show variables like ‘%secure%’ #查看是否可以寫文件
show variables like ‘%general%’ #查看日志的存放路徑
image
四瑰谜、后臺(tái)文件上傳Shell
現(xiàn)在已經(jīng)有后臺(tái)登陸賬號(hào)密碼了渤早,只需要找到后臺(tái)即可登陸。習(xí)慣性的先查看源代碼image
image
image
image
image
image
image
image
image
image
image
image
沒有權(quán)限去修改僚匆,刪除屋确,覆蓋該配置文件堡赔。
五换团、UDF提權(quán)
在conn.php文件中找到root的賬號(hào)密碼,這個(gè)密碼是root的base64編碼忿薇,之前注入點(diǎn)跑出來(lái)的是明文瑰抵,現(xiàn)在得以解釋為什么登陸不上root了氓栈。image
image
使用已經(jīng)得到的root賬號(hào)登陸phpmyadmin,執(zhí)行sql語(yǔ)句創(chuàng)建一個(gè)可以執(zhí)行命令的函數(shù):
create function sys_eval returns string soname "lib_mysqludf_sys.dll";
image
六敌完、Cs上線
使用cobalt strick生成powershell payload并在phpmyadmin執(zhí)行image
image
image
image
上線哈街,應(yīng)該是個(gè)云主機(jī),并沒有內(nèi)網(wǎng)懒震。
image
image
image
image
image
image
七、結(jié)尾
一套操作行云流水,回過頭來(lái)才發(fā)現(xiàn)自己R偏了....淦买优!
image
image
不要點(diǎn)擊陌生鏈接汇歹。
不要把自己的密碼分享給其他人常挚。
不要把自己的驗(yàn)證碼給其他人盗忱。
不要安裝不明的App靡挥。
盡量不要在網(wǎng)上進(jìn)行QQ號(hào)的買賣交易拧簸。
image
