渗透测试|BC杀猪盘渗透一条龙

渗透测试|BC杀猪盘渗透一条龙

2bb7a74f48acccae264260e7ea818386-1

最近获得了一批打击网络犯罪指标,打击BC杀猪盘,授权安排

开干!

 

 

0X00       歪打正着

 

无意间碰到一套垃圾菠菜网站杀猪盘

33744fbbd15ad454a23b6d4d8a26c62a

b519153d9bb0f1cdd2019972b50e3c9c

挨个访问能扫描出来的目录与文件发现并没有太大作用,不过发现了后台地址。phpmyadmin访问500。

062aff8a347c67e4d77bcbee5a0ab178

896cd2491484ab12499063ae806ed271

访问xd.php到后台访问发现还需要授权验证码

62e26bcc4a5e3378e7fd953754efafa8

试了下8888,123456之类的都提示错误,当场关闭。

208ddc5686898a3255a2ce7c4a762396

尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。

返回首页发现url有点不常见。

 

32ca22c12ae2d230e1c56dc36dcf232b

0X01    寻找同类型网站以及源码

 

这种搞诈骗的很少会开发肯定源码是从网上下载找人搭建的,不常见就是特征,于是搜索了下。

beec79391b11972f3df7b7e76c37490b

ffef6874245ee472959678a0cab64e7b

0X02    开始审计

这么多网站那源码肯定烂大街了,于是花了点时间找到了源码,尝试审计。

44f1df7afb9ebb679eb3d05cba2c5e35

下载回来源码用seay扫描下,源码又太大我也懒得去本地搭建,直接用源码对着目标进行怼。

7fdda96592912753fd5dd7c6c5ae1853

从中发现了个fileupload.php文件好像有点问题。

f66f9c04221266f655d206d4a1bdf65f

访问目标发现也存在该文件。把该文件提取出来到本地搭建的环境中做测试。

38851ad66a4921c28485c44917a769b7

直接访问会自动创建出upload和upload_tmp两个文件夹,这玩意是个demo这个点其实看起来更像个后门。

0f6061bc40c0f9f3f6d5517edfe5ac03

9fed85916ad139a872e532bade3f6b77

并且filename变量完全是可控的。

6b49be1a4ef4ba648229c09964983365

继续往下看发现一些判断,可以表单上传名就为file。

 

文件上传

 

其他的就不用管了,直接改个上传表单。只要加上参数name和file就行了。

0a4f7d4dff7bc21c2c200471a128ca9e

name参数控制上传文件名为aaa.php

4d3a931bb9a6b5386b9dbacf1e6deccc

选择1.jpg上传

718e0bd7f0d7d59c5503a25e27c069fc

上传后没有返回路径但是在upload下已经存在aaa.php文件。

 

SQL注入

90895b9de943ff0d530d99a183b7394b

 

变量中where的值又是来自request中,并且上面的checkinput中也没有检测type的值。

23e25e4dde35d223d0fc185e249ecdbe

跟入betListCntd314bdfc403dd292703f5e5034140153

531038af65cc63b1e611af3827a2f095没有任何处理就直接带入查询了,类似点还有许多。

 

0X03    验证审计到的漏洞

07f1453c2a2b08273b55b95fb70d4efe

 

通过之前的上传拿到webshell,尝试提权。

343ab9dcac67d1e41ab2524a46ba53b3发现是debian的。

发现有6379端口但是不是root用户启动的redis

5b8ddf418ab8dfbc5063d75b36586f47

看了下内核版本感觉应该可以,尝试寻找提权exp。

b0cfac29521c2b026e96c92f795fcb92

生成msf马d759d49e59425281c81191a30039a91d

 

为了方便我就用msf上线了这台机器。然后寻找对应的提权exp。

 

0X04    尝试提权

 

找到这两个CVE-2019-13272、CVE-2017-16995

当我在github上找利用工具的时候,我想起msf其实也自带提权的。

于是尝试搜索了下

f9249ac2bf35d62d13cd0155c67c4feb

aaf3c2bd7d762727ef9aa9391ae4fb22搜到了就利用

39a76a250e3b450f19468ef6460dee515b2ae7adcc03adffa026382c3113d1cb

结果当场失败

e574a371e197fb5096adc46c67a89060

尝试第二个CVE-2017-16995

d3d9cfa2d38e735b46af5cfaec2ceb96

c60d14c6bf25a81ee984c1712bc236896a9def7be798884e80ab075ac19f1cd1成功返回一个root权限的会话,提权完毕。

06a733e82a2268b6813e289f0cce57a3

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/3484

(1)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年1月21日 下午6:16
下一篇 2022年1月22日 下午7:37

相关推荐

发表回复

您的电子邮箱地址不会被公开。