晚上在看python的视频,旁边的社会罗总拍拍跟我说:“你看看这个”。
Woc,H网。。社会我罗总半夜不学习不日站,看片呀。。仔细看了一下,这TM是儿童色情论坛。。首页的一些图片不堪入目。。这些经营者简直畜生。作为一个三观正,颜值高的脚本小子,我总觉得我该做些什么。。
看了一下是dz论坛。。最新版。。有点尴尬和难受。不过没关系,可以从别的地方入手。888端口是宝塔的面板。没有弱口令,也没有初始化的漏洞。
只能祭出扫描器了。发现有一个目录很有意思。是个发卡平台。
有个登录界面。
试了一下,没有弱口令啥的。。但是在某个界面有个注入,没做过滤,但是不知道为
没有注成功。只能另外找一个路子了。。
百度看了一下,有这个发卡平台的源码。下载下来本地搭建看了一下。在ajax.php是更改密码的,而且并没有做cookie校验证。
直接抓个包,改下host,post发过去。修改密码成功。直接进去后台。
后台log上传点直接getshell。
拿到shell以后,发现是iis_user的权限。无补丁。而且限死在了发卡目录下。没有绝对路径跨不了目录读取主站点目录。尝试了一下各种exp都执行失败。无法执行exe程序。没有安装杀软。
最烦的就是提权了mmp。用在kali侦听了一下端口,生成了一个dll的木马,上传webshell,直接Regsvr32 d:\xxxx\xxx.dll成功弹回一个webshell。
(个人认为这招不是一般的好使,dll通常bypass很多机制)
但是并没有什么用,依然执行不了提权exp,尝试了getsystem也没有成功。Powershell内存加载也没有成功。。。什么原因也未知。。
想了一下,用直接用大灰狼生成了远控,上传竟然运行成功~!!
后来仔细想了一下,菜刀马的问题,中间换了个大马。
然后远控中连文件都查看不了了。运行虚拟终端,发现提权exp竟然成功执行。。重新侦听了一下端口。用提权exp运行了dll的木马,成功弹回了一个system权限的会话。很舒适。。
直接上传getpssword读取到了明文密码。。竟然是20位的密码-.-,进服务器中收集了一些信息。整理了一份发给了网警大佬。半个小时,就锁定了人。。国家队牛逼!!
PS:
其实中途已经得到过了一次system权限。具体是发卡平台目录下有个user.ini文件,打开看到了绝对路径。找到了宝塔面板的目录,写入了php的一句话,发现是system权限。。但是时间还早,不适合进一步进去收集信息,结果后来运营者上线了。。可能是发现登录不了发卡平台,将宝塔面板所用的nginx关了。所以权限丢失了。。只能另辟途径提权。。对于webshell能执行远控而不能执行提权exp的问题,我自己也想了很久,没有得到一个能说服自己的答案,但是已经交给了wangjing大佬,就不去碰这个站了。让大佬好好经营收网。这也是这篇文章中很多图片不方便再去重新截图的原因。
关于发卡平台,百度个人发卡平台直接能找到到源码,个人感觉在log上传处也是不验证cookie前台任意上传。但是没有去尝试。。师傅们有兴趣可以去挖挖,发卡平台有运用于一些xx辅助网的发卡
最后预祝各位表哥新春大吉!万事如意!