危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787904

利用PHP注入漏洞获取root

惊天危险漫步和大家分享一篇linux渗透到获取root权限的的文章希望各位读者能够喜欢。

首先用NMAP探测一下服务器开放的端口情况和操作系统类型,命令如下:

Nmap.exe -v -sT -sV -O -PO -oX 123.xml test.edu.tw。

扫描完成了,尽管没把操作系统扫出来,但根据开放的端口情况来看,十有八九是linux系统了,存在弱口令的几率还是很小的,接下来就要看看网站是否存在脚本注入漏洞了。

网站用PHP程序编写,有的链接没有过滤严格,就有可能存在注入漏洞,我们利用google,先构造关键字site:test.edu.tw php?id=放入啊D里检测一下是否存在。

存在一个PHP注入漏洞,我们现在要做的是就是利用PHP注入语句来获取网站的一些敏感信息了,首先判断字段数,提交order by 5-,返回正常,说明字段数大于5,再提交order by 10-,返回不正常,说明字段数大于5小于10,依次递减,最后测得字段数为7。

接着我们再来查看网站的数据库版本,提交语句。

最后再来查看连接用户和数据库名,依次提交。

可以看到数据库连接用户为root,数据库名是XXX(为了方便隐藏,我用xxx代替),由于数据库是mysql5,支持跨库查询,利用跨库查询的方法,往往会得到意想不到的效果。

通过我的查询,发现存在8个数据库,分别为:information_schema,hcxxxjib,mysql,xxxhc,xxxtop,rxx,test.我感觉xx这个应该是此站的数据库,先测试一下它吧,首先查表。一直查到第七个才返回空白页面,说明只存在7个表,大致筛选了一下,最终确定new_system_user_admin为管理员表,再构造查询表的字段。

通过查询得知new_system_user_admin存在account,password,这两个字段,判断应该是存放管理员用户和密码的字段,再构造查询语句。

成功爆出用户和密码,接下来就是找后台登陆了,直接在根目录下加了个admin,后台就出来了,利用爆出的用户和密码成功登陆后台。

可惜的是后台比较简单,虽然存在fckeditor,不过漏洞均补上了,无法拿到webshell,后来我想了下,既然是root权限,应该可以通过intooutfle函数进行导出一句话,前提必须是gpc=off,还有路径,这个好办,我们直接用load_file()函数获取,提交语句。

得到绝对路径为/var/www,现在来尝试into outfile导出一句话。

并没有出现我们理想的结果,看来gpc=on,怎么办呢?突然想到还有mysql这个库,如果能查到mysql的账户和密码的话,或许还是比较有用的,我在本机安装了lamp环境,通过登录mysql数据库,发现用户和密码的字段分别是User,Password,(linux下注意大小写)我们继续构造语句查询。

Mysql密码是加密的,在cmd5在线解密网站上查询提示要收费,幸好我MD5账户还有点余额,顺利查了出来。但是mysql的3306没有对外开放,也没有发现诸如phpMyAdmin之类的登录页面,现在陷入了僵局,怎么办呢?

搞到这里,似乎没有什么办法了,难道要放弃吗?这不是我的作风,我们还有最后一招,社会工程学,前面扫到开有22端口,证明安装了SSH,现在有了mysql密码,何不试试这个呢?不管了,死马当活马医吧,打开putty,填上ip,输入用户和密码。

成功连上了root,看来一向命苦的我也有RP爆发的时候。

有了root,剩下的就是留个rootkit后门了,通过uname -a查得内核版本为2.6.18,立刻用rootkit后门下载到服务器上,解压,命令为:tar zxvf mafix.tar.gz。

然后进入mafix目录,赋予root文件执行权限。

接着安装rootkit后门,格式为:/root连接密码端口,如果安装成功,就会显示出来。

最后用history -c清除命令记录,整个渗透过程也就结束了。