记一台centos6.6kr服务器跨站【通过】

目标站点 http://www.xxxxx.co.krwww.xxxxx.co.kr

初始看不出来,首先wafw00f 测试未发现waf,多地点ping,不存在cdn,目标站手工未发现如何可下手的地方,全是html

综合漏扫:未发现明显安全漏洞,发现站点目录下有少数2.3个目录,

http://www.xxxxx.co.krwww.xxxxx.co.kr/cms

还有一个

http://www.xxxxx.co.krwww.xxxxx.co.kr/mobile/

右击查看源代码,

发现一个js路径

发现此目录下使综合漏扫也未发现明显漏洞。思路暂时断了。

微步收集旁站信息,发现是虚拟主机,(如果不是可以子域名下手比较好)反正kr虚拟主机经常可以利用数据库那个漏洞跨站读文件,到时候读数据库配置就可以了。

https://tools.ipip.net/ipdomain.phphttps://tools.ipip.net/ipdomain.php

https://x.threatbook.cnhttps://x.threatbook.cn

https://bgp.he.net/ip/120.24.65.154#_dnshttps://bgp.he.net/ip/127.0.0.1#_dns

bing ip:xxx.xxx.xxx.xxx:

没用vip,不能看全部,不全只能多搜集几个旁站查询地址,然后整合旁站

批量ping

http://www.link114.cn/ip/? 复制是同一ip下的旁站,然后再批量ping一下,复制出域名。

你想批量查询网站标题也是可以的,

获取了一批旁站,然后bbscan批量信息简单扫一下,扫到多个phpinfo 网站物理路径是/www/域名_com/ 或 /www/域名_co_kr/ 或 //www/域名_kr/ (不要域名www)

还发现一个后台地址,随手admin/admin就进入后台,

旁站上传拿到一个shell 。

第一时间就是去看配置文件。发现是这样

ping数据库地址不是一台服务器,库站分离,下面这个跨库读文件就不行了(本来还有记录的)。

第一句

创建表:

CREATE TABLE `bbs` (`bbs1` TEXT NOT NULL );

越权限读文件

load data local infile '//home//opendb.php' into table c;

我读出来是这样的 <? ?>

读别的也是 include的部分就没读取了

怀疑是转义了

LOAD DATA LOCAL INFILE '/home/opendb.php' into table bbs fields terminated by '' LINES TERMINATED BY '\0';

只能老老实实提权,发现很多命令执行没有权限,只能这个看 lsb_release -a

LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch

Distributor ID: CentOS

Description: CentOS release 6.6 (Final)

Release: 6.6

Codename: Final

脏牛exp对应版本:Linux Kernel >= 2.6.22的版本。

我看不出来,虚拟主机我也没想着提权成功,不能ls /www/以下目录 不能find相关的几个命令,尝试 ls /www/域名_com/ 或 /www/域名_co_kr/ 或 //www/域名_kr/ 全部不行,后面测试发现可以cp 前提是知道目标路径,我试了下没有权限别的旁站的phpinfo路径文件,发现确实可以cp过来,尝试 cp /www/域名_com/ 或 /www/域名_co_kr/ 或 /www/域名_kr/ 目录下已知的相对路径文件 全部提示不存在,我猜应该是路径不对,上传cmd马 fuzz路径未成功。

cp apache默认配置文件提示没权限,想find模糊路径不能执行。

现在只要获取到目标站点物理路径 cp配置文件就ko了。

转回头目标站点,dir(pk那个扫描的)发现cms路径一个文件 login_check.php 访问直接302跳转404(跳登陆页面,页面不存在所以跳404)

在准备跳转的时候查看源码发现是g5程序(https://github.com/gnuboard/gnuboard5),

我记得他adm目录下存在PHP info.php 但是要登陆才能访问。所以也没行的通,又没爆出物理路径,后面用kr扫目录字典扫到编辑器地址使用的se编辑器(自己源代码也有自己可以尝试)。g5低版本的se编辑器是可以直接上传shell的,自己上传正常图片,默认是php/目录下的index,php发现上传不上去,

但是以前有过上传爆物理路径的情况,首先使用长文件名没成功爆出来。

同目录下的这个文件UploadHandler.php

http://http://www.xxxxx.co.kr/cms/smarteditor2/photo_uploader/popup/php/UploadHandler.php

www.xxxxx.co.kr//cms/plugin/editor/smarteditor2/photo_uploader/popup/php/UploadHandler.php

成功爆出物理路径。路径就不贴了

然后cp g5配置文件,本来是cp cms目录下的发现不成功,尝试chksys

cp /www/爆出来的域名_com/chksys/dbconfig.php

/www/拿下的站点域名_kr/HyAdmin/upload/etcFile/

image

发现可以直接本地远程native连接,都不用转发数据库出来。你以为结束了吗?没有数据库各种加密待解决。

阿里云的这种情况大概知道怎么突破吗?单独的数据库,只能网站目标连接,网站不是限制ip就是需要手机验证码登陆,有个wp密码找回功能都删了,有邮箱权限,猜到数据库ip及账号密码连接信息,使用aliyun接口提示未授权,目标的其他服务器全部拿下,也有目标站点的数据库配置信息,全部不能,ssh私锁登陆,要提权服务器,放弃了,阿里云的安全还是做的好。

  • 通过
  • 未通过

0 投票者

修正版本:

目标站点 http://www.baidu.co.kr初始看不出来什么程序,首先wafw00f 测试未发现waf,多地点ping,不存在cdn,目标站手工未发现如何可下手的地方,全是html

综合漏扫:未发现明显安全漏洞,发现站点目录下有少数2.3个目录,

http://www.baidu.co.kr/cms

http://www.baidu.co.kr/mobile/ 

右击查看源代码,


发现一个js路径,发现此目录下使综合漏扫也未发现明显漏洞。思路暂时断了(有时候没事多看看js会有不少意外路径,当目标站点信息收集很少的时候)。


微步收集旁站信息,发现是虚拟主机,(如果不是可以子域名下手比较好)反正kr虚拟主机经常可以利用数据库那个漏洞跨站读文件,到时候读数据库配置就可以了。

https://tools.ipip.net/ipdomain.php

https://x.threatbook.cn

https://bgp.he.net/ip/127.0.0.1#_dns

bing   ip:xxx.xxx.xxx.xxx:

没用vip,不能看全部,不全只能多搜集几个旁站查询地址,然后整合旁站

批量ping 

http://www.link114.cn/ip/?  复制是同一ip下的旁站,然后再批量ping一下,复制出域名。

你想批量查询网站标题也是可以的,


获取了一批旁站,然后bbscan批量信息简单扫一下,扫到多个phpinfo  得到的旁站网站物理路径基本上都是

(后面不要域名www)

/www/域名_com/  

/www/域名_co_kr/ 

/www/域名_kr/  

还发现一个后台地址,随手admin/admin就进入后台,

直接上传拿到一个旁站shell 。

第一时间就是去看配置文件。发现是这样

ping数据库地址不是一台服务器,库站分离,下面这个跨库读文件就不行了(本来还有几率的)。


第一句

创建表:

CREATE TABLE `bbs` (`bbs1` TEXT NOT NULL ); 

越权限读文件

load data local infile '//home//opendb.php' into table bbs;

怀疑是转义

LOAD DATA LOCAL INFILE '/home/opendb.php' into table bbs fields terminated by '' LINES TERMINATED BY '\0';


只能老老实实提权,发现很多命令执行没有权限,只能这个看 lsb_release -a  

LSB Version:	:base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID:	CentOS
Description:	CentOS release 6.6 (Final)
Release:	6.6
Codename:	Final


脏牛exp对应版本:Linux Kernel >= 2.6.22的版本。 我看不出来,centos6.6 也不包括,虚拟主机我也没想着提权成功,不能ls /www/以下目录 ,也不能ls  已知旁站路径目录,不能find相关的几个命令,
后面测试发现可以cp 前提是知道目标路径,我试了下没有权限别的旁站的phpinfo路径文件,发现确实可以cp过来,
尝试目标站点 cp  /www/域名_com/  或  /www/域名_co_kr/  或 /www/域名_kr/  目录下已知的相对路径文件 全部提示不存在,我猜应该是路径不对,上传cmd马 fuzz路径未成功。cp  apache默认配置文件提示没权限,想find模糊路径 没权限

现在只要获取到目标站点物理路径 cp配置文件就ko了。
转回头目标站点,dir(pk那个扫描的)发现cms路径一个文件  login_check.php 访问直接302跳转404(跳登陆页面,页面不存在所以跳404)
在准备跳转的时候查看源码发现是g5程序(https://github.com/gnuboard/gnuboard5),
我记得他adm目录下存在phpinfo.php  但是要登陆才能访问。所以也没行的通,又没爆出物理路径,
后面用kr扫目录字典扫到编辑器地址使用的se编辑器(g5源代码也有自己可以尝试)。
g5低版本的se编辑器是可以直接上传shell的,自己上传正常图片,发现上传不上去,
POST  /cms/plugin/editor/smarteditor2/photo_uploader/popup/php/?
host   http://www.baidu.co.krwww.baidu.co.kr

补充默认路径:
/cms/plugin/editor/smarteditor2/photo_uploader/popup/php/index.php,也是一样不能正常上传图片

以前有过上传爆物理路径的情况,首先使用上传长文件名没成功爆出来。
修改上传index.php同目录下的这个文件UploadHandler.php
POST /cms/plugin/editor/smarteditor2/photo_uploader/popup/php/UploadHandler.php 
Host  www.baidu.co.kr

成功爆出物理路径。路径就不贴了
然后cp g5配置文件,本来是cp  cms目录下的发现不成功,尝试chksys

cp  /www/爆出来的域名_com/chksys/dbconfig.php    
/www/拿下的站点域名_kr/HyAdmin/upload/etcFile/

发现可以直接本地远程native连接,都不用转发数据库出来。你以为结束了吗?没有!数据库各种加密待解决。

既然可以cp,只是路径猜不到,可以试试open basedir绕过

这个方法很棒。