.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
私は誤ってThinkPhpのほうれん草のサイトを発見しました。最近TPに抜け穴はありませんでしたか?
それから私はそれをさりげなくテストしましたが、プロセスはそれほどスムーズではありませんでしたが、ついに勝ちましたので、私は自分のアイデアを共有するためにこの記事を投稿しました。
0x00ワンクリックゲッシェル
短い見方の後、多くの人がプレイするはずですよね?
数日前、私はテストツールを書き、最初にテストするためにそれを取り出しました。
このツールは脆弱性を示しています
ワンクリックゲッシェル、非常に滑らかに見えます、ハハ。
しかし. Xiao Mingは髪を振って、物事が単純ではないことを発見しました。
包丁が接続されている場合、500のエラーが返されます。
FirefoxのHackbarを使用して確認しました。それには何の問題もないので、なぜ包丁をつなげることができないのですか?
ケチな人として、私は深い考えに陥らざるを得ませんでした.
0x01開始分析
私はこのツールを自分で書いたので、上記の写真から3番目の経験が呼ばれていることを発見したので、それを分析して見てみましょう。
次のようにPOC
/?s=index/\ think \ app/invokefunctionfunction=call_user_func_arrayvars [0]=systemvars [1] []=dir
POCの後にWhoamiを入力して、権限を確認しましょう。
/?s=index/\ think \ app/invokeFunctionFunction=call_user_func_arrayvars [0]=systemvars [1] []=whoami
IIS許可
ただし、Echo Dirなど、一部のコマンドを実行できます。
0x02シェルを突破してみてください
エコーを実行できるので、ポニーを書くことができます。それが成功した場合、私たちはポニーを使用してポニーをアップロードしてそれを行い、それを言うとすぐにそれを行います。大変な作業が来たら、列に並んで書かなければなりません。
注:コードのシンボルは^^で逃げる必要があります。たとえば、PHPは^^?phpに逃げました
行ごとの執筆が完了した後、アクセスするときに正常に実行できないことがわかりました。ここでスクリーンショットを撮るのを忘れました。
次に、次の方法を使用してファイルをサーバーにダウンロードしようとしましたが、失敗しました。
私があきらめようとしていたとき、私はまだ役に立たないダウンロードコマンドがあったことを思い出しました。
それはcertutil.exeです
それを行うだけで、マレーシアをサーバーに置き、HFSを有効にしてください。
次に、次のコマンドを実行します。
はマレーシアに成功しましたが、あまりにも早く幸せにならないでください。
Xiao Mingは再び髪を振って、物事がさらに難しいことを発見しました.
マレーシアはファイルのアップロードを操作して名前を変更するなどしますが、ファイルを編集できず、ファイルソースコードなどを表示できません。クリックして空白スペースを表示します。
そうなので、データベースに行き、見てみましょう。
TPのデータベース構成ファイルが次の場所にあることは誰もが知っています
/application/database.php
マレーシアを開くことができないため、TPコマンドを使用して脆弱性を実行し、Typeコマンドを使用してこのファイルを読み取ることができます。
/?s=index/think\app/invokefunctionfunction=call_user_func_arrayvars [0]=systemvars [1]
読み取りの試みは失敗し、コピーコマンドが頭に浮かぶようになりました。
database.phpをWebルートディレクトリにコピーし、名前を1.txtに変更します
/?s=index/think\app/invokefunctionfunction=call_user_func_arrayvars [0]=systemvars [1]]
コピーした後、URL/1.TXTにアクセスして、それが空であることがわかります。
0x03成功したブレークスルー
一連の障害を経験した後、私は落ち着いて考えました。また、File_Pathを使用してソースコードを読み取ることもできます。
DAMAを使用して、このファイルをルートディレクトリにアップロードしてからアクセスし、データベース構成情報を正常に取得します。
次に、構成情報を入力してデータベースを入力します。
この記事が書かれた夜遅くすでにありました。私はテーブルの上でインスタント麺の半分を食べたインスタント麺を見て、最後に2杯のスープを飲み、電話をオフにして寝ました.
元のリンクから転載:https://www.jiansshu.com/p/1f9b02780f1c
を実行します
ブラウザはホームページの予備的な発見システムにアクセスします:Windows Middleware IIS7.5言語:ASPX
には多くのオープンポートがあります。その中には、いくつかのWebサービスがあります:80(現在のホームページ)、81、82、88、4700181:これはこのQipaiサイトのバックエンドです。 82:バックエンドでもあります。どんなシステムなのかわかりません。確認コード88/47001があります:アクセスに失敗しました
再び7kbscanを使用します。結局のところ、ここで収集された辞書は中国人によって一般的に使用されています
/m/はユーザー登録ページです。
/test.htmlは、WeChatを調整するための入り口です。役に立たない。被害者が携帯電話でチャットするように導くかもしれません。
北京の特定のオペレーターのIPサーバーを確認します。国内のサーバーにWebサイトを構築することは非常に大胆です。
情報並べ替え
検証コードなし、ユーザー名/パスワード用に管理者/管理者を書くだけで、パッケージをつかみます
ユーザー名には見積もりがあり、エラーを返すように直接リクエストを送信しました。予期しないことが起こっていない場合は、エラーインジェクションまたはブラインドノートが必要です。
このデータパケットをローカルQipai.txtに保存するための2つのグループを分離し、SQLMAPを使用してスキャンします。MSSQLデータベースであり、-DBMSパラメーターがデータベースタイプを指定して時間を節約することはすでに知られています。
パスワードは888999、弱いパスワード、永遠の神です!
ギャンブルに参加できない、この男は1日で2800を失いました
長い間バックグラウンドで検索した後、アップロードポイントが見つからなかったので、最初に置きました
は16のライブラリを使い果たしました。名前によれば、ryplatformmanagerdbライブラリには、管理者関連の情報が含まれている場合があります。
実行時計名
長い間検索した後、私は管理者のアカウントとパスワードを見つけました。
はDBA許可です。シェルを取得してみてください。SQLMAPを使用してMSSQLデータベースのパスを直接爆破するだけです
TASKLIST表示プロセス、ソフトを殺すふりをするべきではありません
ファイアウォールを閉じて、右はまだ上がっていません
実行後、しばらく待ちました。私は幸運でした。マシンはパッチを適用されず、当局は一度に成功裏に提起されました。私はシステムの権限を取得し、自分が望むことを何でも始めました。
ファイル管理を入力すると、以前の情報が収集されたときにtest.htmlファイルを見ることができます。
NETSTAT -ANOポートオープニングの状況をチェックしてください、3389が開かれていません
リモートデスクトップにアクセスできます
COBALTSTRIKE私はそれを操作するのにあまり熟練していないので、MetaSploiteを使用してCSを介してMSFによって生成された馬をアップロードする必要があり、MSFは監視を可能にします
MSF監視を有効にします
CSでアップロードされた馬を実行します
MSFシェルが正常に取得されました。
パスワードハッシュを見る、MSFの馬は32ビットで、システムは64ビットであるため、取得できません
PSプロセスを表示し、プロセスでシステムの許可を得て実行されている64ビットプログラムを見つけてから、プロセスを移行した後にハッシュを取得します
SUCCESSISSEESTISSESSEESTISE SUCTESSISTESTESTERTERIME LOGNETERITE DESKTOP
リバウンドシェル用の2つのバックドア、1つのウェブシェル、1つのセルフスタートNCを残してください
ポートクエリ
80はメインページ8182です。
カタログのトラバーサル
多くの機能はありませんし、使用するものは何もありません
MSSQL、DBA許可、Direct –OS-Shell
ここでの最初のマシンはネットワークを離れず、エコーしませんでした。私はあきらめました。いくつかのサイトを検索した後、私はついにリリースされてエコーされたウェブサイトを見つけました(リリースされている限り簡単に解決できました)。
情報を確認し、タスクリストを確認してください
現在、それはデータベースの許可です。私は当局を増やそうとしましたが、それは直接切断され、ウェブサイトを開くことができませんでした。注意して使用し、十分な情報を収集し、十分なパッチ情報を収集する必要があります。
別のサイトが変更されました。ウェブサイトパスを見つけます
最初にウェブシェルを入手してください
Godzillaのサツマイモはシステムに昇格しています
CSプラグインのサツマイモも、権利を正常にアップグレードしました
ADDシャドウアカウント、管理者の権限を追加する
クライアント
MSF監視を可能にします
CS
に置き換えられていることがわかります。
を入手してください
を見つけました
の下にある/post_message/interfaceに存在します
は大胆に推測し続け、試してみてください。最初の2つのキャラクターは110000000を満たす任意のキャラクターであることができるため、最後の7文字を破壊できます。
3。バーストスクリプトを書きます。文字列の長さが9ビットで入力されると、「ここにコードカバレッジ: 110000000」ではない結果とともに印刷されます。スクリプトは次のとおりです
FLAG {61E81B4F-566C-49F5-84DD-D79319FDDC82}
はそれを更新し、それがランダムにプレイするために選択されていることを発見しました。
16Qam星座図を比較すると、振幅は信号対応を形成するだけであることがわかりますが、特定の対応が何であるかはわかりません。私たちは盲目的に小さいから大規模に推測します。
または
カーネルバージョンを取得したら、写真を撮ります
はエクスポートを試みましたが、空です
を使用することがわかります。
2。現在のメモリ画像レジストリでユーザー名を表示します
3。 Hashdumpコマンドを使用して、Sam Hash Valueを取得します
4。 lasdumpコマンドを使用して、パスワードを表示しますテキストをクリアします
5.Viewネットワーク接続ステータス情報
6。現在のシステムホスト名を確認してください
キー名を表示します
volatile.exe -f worldskills3.vmem --profile=win7sp1x64-o0xffffffff8a000024010printkey-k'controlset001 '
volatile.exe -f worldskills3.vmem -profile=win7sp1x64-o0xfffffffff8a002401010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101001010100101010010101001010101010101010100101010010101
Volatile.exe -f worldskills3.vmem -profile=win7sp1x64 -o0xffffffffff8a000024010 printkey -k 'controlset001 \ control \ computername' '
Volatile.exe -f worldskills3.vmem -profile=win7sp1x64 -o0xfffffffff8a000024010 printkey -k 'controlsset001 \ control \ computername \ computername' '
は、Hivedumpを使用して対応するキー名を直接照会することもできますが、照会するのに多くの時間がかかります。
9。メモリファイルからシステムに移植された異常なプログラムのトレースを見つけます。
10。親と子のプロセスを表示します
11。プログラムバージョン情報を表示します
また、子どものプロセスに関する情報をさらに見つけることができます
14。 CMD履歴コマンドレコードを表示します
16.Scanメモリシステム内のすべてのファイルのリスト
Linuxシステムでは、FilescanコマンドパラメーターとGERPコマンドを使用してキーワードを検索できます。
写真やテキストを検索します
export flag.txtファイル
Dumpによってリリースされたプロセスファイルは、最もemollemostを使用して内部のファイルを分離することをお勧めします。
に置き換えられていることがわかります。
にあります
の許可を取得するために使用されたことが発見されました。
