继上次拿到一个内网站的完整权限后,继续在内网摸索。内网的确是个好的靶场啊……有各式各样的系统和程序可供练习。从一个友情链接跳转的时候发现一个部门的小站,和之前做的站是同一个网段下的,估计也是同一批人在维护吧,不过链接地址是http://1.1.1.21/xxxxxx/
网站一看就是某个CMS改的,不过可惜的是版权信息也改掉了,不清除是什么。另外有个WEBFTP,用首页上公布的账户密码可以进去,不过没什么有用的东西。
比较好奇的是,既然是自己独立一个服务器,怎么不把程序放在根目录,而是加了个路径/xxxxxx/。
于是我删掉路径,手动跳到根目录,哦……
居然根目录是phpMyAdmin管理页面……好吧,皮卡丘!就你了!
下班前把目标小站放到JSky里跑着,然后就回家了,早上过来,结果已经躺在那了,是一个漏洞看似蛮多的站。
基本上每个页面上都存在爆目录,不是大问题,不过有好多SQL注入和XSS。直接丢进Pangolin。
没问题,直接可以注入,连防注都没做。go on...
root,密码也出来了。去CMD5跑一下。
果然吧,内网X站就要相信运气……账户密码出来了。登录phpMyAdmin……
嗯。就是这么好使。继续吧。还没注入完呢。
Pangolin出了个奇怪的问题,3.X版本获取表单都正常,反而4.0的不能。就使用3.X版本就行。很快获取到了管理员md5,继续拿CMD5跑,直接出了密码,6位纯数字,基本相当于弱口令了……
先进到后台看看。不过因为管理员改掉了CMS版权标志,找不到什么可以直接利用的地方,发布新闻的上传图片又不容易利用(我菜嘛!),一时找不到好的方法,不过转悠了一会发现后台有一个WEBFTP管理员账户的设置。管他呢,先添加一个自己的管理员,试试上传再说。
添加完管理员,打开这个站点的WEBFTP看看。其实所谓WEBFTP,并不是使用FTP协议的,而是一个WEB文件共享程序,也就是网盘。从我对这些管理员的了解来说,我估计他们是不会限制上传目录的脚本执行权限的……
上传个小马看看。。。
果然上传后直接点击文件就可以运行。可惜的是,这个网段的服务器都有防火墙之类的东西防护,直接上传大马一般都会失败,所以几次尝试后都没能把大马传上去。不过既然没有限制上传目录的执行权限呢,就从这里再添加一个一句话和另一个小马到根目录吧,这样好隐藏一些。然后删除掉这个小马,防止被管理员之类的发现了。
上传好一句话后,拿菜刀连接看看!
菜刀连接OK,但可惜的是虚拟终端不能使用,不然就可以直接拿到SHELL了。。。
由于我对MySQL的极度不了解,到目前为之,我也只能拿到这个WEBSHELL和一句话了。该如何从这里拿SHELL,还需要大牛来指点一下啊!
现在没什么思路呢……计划是先想办法上传上去大马,这里目前没什么好办法绕过防火墙。另外Pangolin提示“目标系统必须将magic_quotes_gpc置为Off“,才可以使用文件写入功能。MySQL的部分我简直就是白痴,还不知道该从哪下手,或许phpMyAdmin应该可以帮上忙。要学的东西还很多。如果上去了大马,大概对最终拿到系统SHELL会比较有帮助些。
亚丝娜
访客
路人
时光
