1. 威客安全首页
  2. 安全资讯

记一次渗透测试历程

请点击上面 记一次渗透测试历程 一键关注!

内容来源:先知社区  作者:evoA

一、收集信息

记一次渗透测试历程

发现
.project文件 sql目录遍历 uploads目录遍历 phpmyadmin泄露 superadmin 目录(phpmywind)泄露 include目录遍历


获取到管理员密码

首先看sql目录
记一次渗透测试历程
下载后发现是sql的导出文件,有php版本 phpstudy 查看一些信息发现
记一次渗透测试历程
somd5解出来密码是rock1980


登陆phpMyadmin

尝试admin rock1980登陆phpwind phpmyadmin未果,用root rock1980登陆phpmyadmin,成功登陆
记一次渗透测试历程
secure_file_priv设置为NULL,写日志文件又不知道web绝对路径写不了shell,陷入沉思


登陆phpMyWind

沉思的时候翻数据库
找了一下发现另一个admin表,怀疑是phpmywind的管理员表,md5解不出,自己加了一个用户进去test/testtesttestaaa,登陆成功
记一次渗透测试历程
记一次渗透测试历程


二、一个任意文件读取

发现是低版本phpmywind 5.3 可以后台任意文件读取 结合之前的include路径遍历,可以读取一些敏感信息
https://www.0dayhack.com/post-764.html
记一次渗透测试历程
记一次渗透测试历程


三、GetShell

看了一下功能,发现后台可以改允许上传文件后缀,修改php上传php发现貌似被waf拦了,改为phtml上传成功
记一次渗透测试历程


记一次渗透测试历程


记一次渗透测试历程

连上马

记一次渗透测试历程


然后发现有disable_function无法执行系统命令,但是没有禁用putenv和mail
记一次渗透测试历程
于是用LD_PRELOAD + putenv绕过
https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
phpinfo发现是centos 64位
于是上传64 位的so文件,配合php,成功执行系统命令
下面执行了ifconfig


记一次渗透测试历程

centos系统内核比较老,可能可以提权,但怕搞坏机器就没继续了,内网也很大,可能可以漫游,不过还是要先提权,就止步于此了

记一次渗透测试历程

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

记一次渗透测试历程

加入群聊

为了【天億网络安全】微信群管理,想进群的朋友先加我好友,我拉你们进群,微信二维码如下:

记一次渗透测试历程

—THE END—

朋友都在看

▶️公安部 马力 | 网络安全等级保护2.0主要标准介绍

▶️公安部 任卫红| 等保2.0标准框架及基本要求标准对比介绍

▶️等保2.0-新形势下如何建设等级保护

▶️干货 | 等保2.0新标准介绍

▶️重磅 |等保2.0正式发布,2019年12月1日实施

▶️等保2.0通用部分 | 安全区域边界(三级)测评指导书

天億网络安全

【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】

记一次渗透测试历程

↑↑↑长按图片识别二维码关註↑↑↑


欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):记一次渗透测试历程

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X