0X00 正文

毫无套路的炫酷界面

琳琅满目的商品列表

这种卖黑号的通常都是跟各种hc商勾结在一起，用木马盗取用户账号，然后再出售账号让孤儿开挂。

0X01 Getshell

getshell的过程懒得再复现一遍了，直接说思路吧。

发现用的是一套已知的发卡系统，Fi9coder刚好在我星球里发过此发卡系统的漏洞合集。

自己也审了一下，确实漏洞比较多。

随便找一处

submit.php里直接把$gid带入数据库查询，产生注入

然后到后台logo处未过滤直接可以上传shell

理论上很简单，但是实际上遇到了一些坑。

第一个是对方似乎开了宝塔的防护，注入跟上传都会被拦截。

我用的绕过办法是，注入用的参数污染，上传用的星球里嘉宾九世分享的bypass宝塔上传方法，换行绕过，一句话用的webshell-venom。

第二个是找不到后台

解决办法是找到他的一个旁站，然后谷歌找到了他旁站的后台。

国外服务器，旁站都是这种乱七八糟的非法站，用的都是同一套有漏洞的系统。

猜想可能都是这个后台，果然如此

比较有意思，后台地址是 /sima ，看来站长也知道自己是个什么东西。

拿着注入出来的账号密码就进去了

0X02 Bypass disable function

确实是getshell了，但是连接的时候出了问题，蚁剑连接的时候一直转圈圈

发现是流量被检测后直接封ip了。

因为用的webshell-venom生成的马，兼容流量编码，所以开始解决办法是传一个id参数，然后用蚁剑的base64-bypass编码器，把所有的payload都base64一遍。

结果后面发现连接了一会儿又被封了。。。。

再换上用自己写的蚁剑参数污染模块，总算是不被封了。。。

宝塔默认会禁用系统函数，需要Bypass disable function

用蚁剑自带的bypass插件

发现因为宝塔的原因，会直接拦截上传的php

解决办法是代理到burp后把payload抠出来，手动上传。

(我也不知道为什么自动上传不行手动就可以了。。。)

成功执行命令

0X03 曲折的提权

发现是2015的内核后笑开了花，脏牛一把梭走起。

首先弹个msf回来，这样就可以有交互式shell

但是发现firefart的exp会直接把系统搞崩。。。服务器直接挂了

本来以为是偶然情况，等到第二天服务器又恢复了又提了一次结果还是宕机。。。

所以又等了一天。。。

冷静分析一下，首先脏牛是肯定可以打的，因为内核版本确实在脏牛攻击范围内，并且firefart的exp确实有回显。

因为firefart是直接给你一个加了一个用户，并不会主动返回root权限的shell，需要你su切换或者去登录，猜想可能在覆盖的过程中造成了内核crash就宕机了。

猜想是否可以用直接返回root shell的exp来解决。

explit-db找到了这一个 https://www.exploit-db.com/exploits/40847

编译一下，加个-s参数保存/etc/passwd文件

看到了久违的root

0X04 拿下宝塔

先把他的passwd给恢复回去，不然一会儿机器又崩了就打不开了

找到存有宝塔密码的数据库

/www/server/panel/data/default.db

同目录admin_path.pl下找到面板路径

扔到somd5里解密

成功进入面板

其实进面板的时候怕他绑了微信有提醒，结果没有，哈哈

发现管理员登录IP

查一下地址是福建的

拿到数据库root密码(虽然没啥用)

到此已经拿下服务器所有权限，清除痕迹擦屁股走人。

0X05 最后

法律红线切不可碰，证据全部打包，提交给网警同志。

最后，吐槽一句吃鸡外挂越来越多了，越来越没游戏体验了

原创投稿作者：yzddmr6

作者博客：https://yzddmr6.tk/

本文作者：HACK_Learn

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/119105.html