记一次渗透测试历程
2023-5-4 08:3:15 Author: 李白你好(查看原文) 阅读量:34 收藏

对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!

0x01 信息收集

工具地址,不然兄弟们又得说没附地址

https://github.com/maurosoria/dirsearch
.project文件 sql目录遍历 uploads目录遍历 phpmyadmin泄露 superadmin 目录phpmywind泄露 include目录遍历

0x02 获取到账号密码

首先看sql目录

下载后发现是sql的导出文件,有php版本 phpstudy 查看一些信息发现

somd5解出来密码是rock1980

0x03 登录PHPMyadmin

尝试admin rock1980登陆phpwind phpmyadmin未果,用root rock1980登陆phpmyadmin,成功登陆

secure_file_priv设置为NULL,写日志文件又不知道web绝对路径写不了shell,陷入沉思

0x04 登录phpmywind

沉思的时候翻数据库
找了一下发现另一个admin表,怀疑是phpmywind的管理员表,md5解不出,自己加了一个用户进去test/testtesttestaaa,登陆成功

0x05 任意文件读取

发现是低版本phpmywind 5.3 可以后台任意文件读取 结合之前的include路径遍历,可以读取一些敏感信息。

0x06 Getshell

看了一下功能,发现后台可以改允许上传文件后缀,修改php上传php发现貌似被waf拦了,改为phtml上传成功

连上马

然后发现有disable_function无法执行系统命令,但是没有禁用putenv和mail

于是用LD_PRELOAD + putenv绕过

https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

phpinfo发现是centos 64位
于是上传64 位的so文件,配合php,成功执行系统命令
下面执行了ifconfig

centos系统内核比较老,可能可以提权,但怕搞坏机器就没继续了,内网也很大,可能可以漫游,不过还是要先提权,就止步于此了。

0x07 链接获取

文章作者:evoA

原文链接:https://xz.aliyun.com/t/6018

0x08 往期精彩

福利一枚:对钓鱼盗号站渗透

对自己学校公众号的一次渗透


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247498288&idx=1&sn=7f9dd6c85d1158ad86949ade084feb43&chksm=c09a8960f7ed0076ac547870f01785e48d21348a2e6e871bfe6f6042a0979bfe688b165aa459#rd
如有侵权请联系:admin#unsafe.sh