首先祝法客和众基友大牛,法客管理们,新年快乐,新的一年0day多多。
小弟拙文一篇,全文无亮点,各位大牛轻点踩,求基友交流,求基友意见,求基友指点。
排版不好,基友们凑乎看看吧。
目标站为www.aaa.com
系统是phpcms V9
利用最新暴的生日注入爆出了管理密码。但是亲,phpcms V9的加密方式如此变态- -能破出来真心人品爆发,可惜撸主我没有这么好的RP。
服务器上只有这一个站,然后撸主我只能悲催的C了
主站服务117x.x.200
C段只查到一台:117x.x.196
网址:www.xxx.com
有注入,上次手工了差不多1个小时,蛋疼了,这次不敢了,请出神器SQLmap
注入过程就不说了,无亮点,最后得到用户名密码
Md5无法解密,撸主我又一次蛋碎了,怎么办呢?
忘记看用户权限了,查查是不是root吧。
RP吧,既然root,就看看能不能写shell
Sqlmap -u http://www.xxxx.com/cont-info.php?id=2995 –os-shell
默认php脚本,直接回车也可
这里要网站绝对路径,不怕,咱早有准备,根目录下有phpinfo.php,我们看看去。
网站根目录为d:/www/
接着
提示成功了,我们访问一下,
失败了。应该是magic_quotes_gpc()=on了,测试方法是是在可注入URL下输入and ‘1’=’1′ (单引号打成中文模式下的单引号了,多谢基友songteng1991提醒,已改正)
如果magic_quotes_gpc()=off,则可以正常注入,返回正常页面,相反,则返回错误页面,无法正常注入。经测试,果然。
既然无法写shell了,root权限不能浪费啊,那我们就试试读配置文件吧。
之前扫好的目录
关键目录为:
/manage 后台
/phpmyadmin 这个大家都懂,不解释
/inc 应该是配置文件所在目录
继续深入扫inc目录
目测/inc/Conn.php为数据库连接文件,读下内容。
[root@Hacker~]# Sqlmap -u http://www.xxx.com/cont-info.php?id=2995 –file-read “D:/WWW/inc/conn.php”
成功,文件保存在本机sqlmap目录\output\目标网址\files\D__WWW_inc_conn.php
本机找到后打开得到root密码
先上phpmyadmin登陆看看去吧。
Root权限,试试直接outfile
成功,一句话直接连接。
然后,system…无需提权
Quser发现没有用户登陆,本想直接抓明文密码,ipconfig发现为内网,注册表得知远程登陆端口为默认3389。
登陆上去看看吧,本机网络环境比较复杂,就转到VPS操作了吧。IP转发失败,具体情况是,转发到我VPS,lcx可以成功对接,但是本地登陆远程桌面的时候,就会断开,不知为何,顺便请教下各位基友。
没办法,只能上远控了。远控之后看看是否有防火墙拦截转发之类的,
目标有金山- -翻了好久,终于翻到一款鸽子能过。懒人的工具免杀少啊。
Vps上操作真心卡。。。。
后续操作就不演示了,实在太卡了,是内网,蛋疼的不知道能否嗅,继续研究了,估计小弟这RP最少也要嗅个一个星期。
大家新年快乐,求交流。
转载请注明:jinglingshu的博客 » C断渗透SQLmap注入+写shell+提权