「实战」 缘分使我们（骗子）相遇

本文作者: 重生信安 - 海鸥

一、前言 ​

在信息搜集另一个网站的时候，凑巧发现了该网站。经过在百度贴吧的搜索，发现该网站是骗子网站。这才有接下来的剧情~ image

二、注入

随手打开一个页面，看到?id=171感觉存在注入。 image 经过简单的or 1=1……测试之后，该处的确是一个注入点且没有waf阻拦(之后发现服务器上有安全狗)。 image

使用sqlmap注入，得到：

（1）后台账号密码 image

（2）root数据库账号密码及另一个数据库账号密码

三、尝试PHPMyAdmin写Shell

image 很奇怪，sqlmap得到root得到的密码上不去，只好使用另一个账号登陆。 image

此账号没有写文件的权限，只能做一些信息收集。

select @@datedir #数据库存放数据的目录
show variables like ‘%secure%’ #查看是否可以写文件
show variables like ‘%general%’ #查看日志的存放路径

使用root注入点写webshell，由于路径原因写不进去。（后来得知数据库文件和web目录是分开的） image

四、后台文件上传Shell

现在已经有后台登陆账号密码了，只需要找到后台即可登陆。习惯性的先查看源代码 image 在一个文件的路径中看到了一个/houtai/目录，尝试去访问该页面，报错403。 image 继续查看源代码，尝试寻找网站管理员的命名习惯，然后找到了这几个链接。 image image 发现管理员习惯使用拼音来命名目录&文件，根据之前得到的/houtai/目录尝试访问/houtai/denglu.php。 image 在版权信息处找到一个可以上传图片的地方 image image 利用%00截断上传phpinfo image 这里有个坑，在返回的路径中有一个目录是editor/php/../attached。../代表返回上一级目录，在链接或者访问的时候要访问editor/attached/再使用解析漏洞解析该jpg文件即可解析其中的php代码。 image 依此再来上传一个webshell image 在某些目录可以上传，下载文件，但是无法执行系统命令。 image 查看phpinfo中的disable_function发现禁用了很多执行系统命令的函数,根据phpinfo找到其php配置文件php.ini。 image

没有权限去修改，删除，覆盖该配置文件。

五、UDF提权

在conn.php文件中找到root的账号密码，这个密码是root的base64编码，之前注入点跑出来的是明文，现在得以解释为什么登陆不上root了。 image 该webshell虽然无法修改php.ini配置文件，幸运的是可以在/mysql/lib/plugin目录下上传文件。因为数据库版本是5.5，所以需要将udf.dll文件上传到/mysql/lib/plugin/目录下。 image

使用已经得到的root账号登陆phpmyadmin，执行sql语句创建一个可以执行命令的函数：

create function sys_eval returns string soname "lib_mysqludf_sys.dll";

创建成功后测试一下：这里是system权限。不知道为什么，除了执行whoami，执行其他命令就会返回16进制的值，很不方便。 image

六、Cs上线

使用cobalt strick生成powershell payload并在phpmyadmin执行 image 选择生成powershell command image 选择好监听器 image 复制生成的payload，利用我们创建的udf来执行。 image

上线，应该是个云主机，并没有内网。

image image 抓取密码，然后准备登陆。经过测试，他的远程桌面端口是59086。 image 查看管理员是否在线，昨晚等到1点多还在线就睡了。 image 今早七点起来发现管理员没在线就远程连接了一下。 image 一直以为他只是一个卖qq号的骗子，我打开桌面上的某些文件之后，发现他好像是个专门通过申诉方式来盗号的。 image

七、结尾

一套操作行云流水，回过头来才发现自己R偏了....淦！

image 注 ：此站已提交给相关单位QQ防盗小提示 image

• 不要点击陌生链接。

• 不要把自己的密码分享给其他人。

• 不要把自己的验证码给其他人。

• 不要安装不明的App。

• 尽量不要在网上进行QQ号的买卖交易。

image