0X00 歪打正着
0X01 寻找同类型网站以及源码
0X02 开始审计
文件上传
SQL注入
跟入betListCnt
没有任何处理就直接带入查询了,类似点还有许多。0X03 验证审计到的漏洞
0X04 尝试提权
标签:尝试,发现,BC,杀猪,提权,源码,一条龙,php,上传 From: https://www.cnblogs.com/backlion/p/17947577
记一次针对BC杀猪盘渗透一条龙
时间:2024-01-05 16:46:37浏览次数:28
标签:尝试 发现 BC 杀猪 提权 源码 一条龙 php 上传
无意间碰到一套垃圾菠菜网站杀猪盘 挨个访问能扫描出来的目录与文件发现并没有太大作用,不过发现了后台地址。phpmyadmin访问500。 访问xd.php到后台访问发现还需要授权验证码 试了下8888,123456之类的都提示错误,当场关闭。 尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。 返回首页发现url有点不常见。 这种搞诈骗的很少会开发肯定源码是从网上下载找人搭建的,不常见就是特征,于是搜索了下。 这么多网站那源码肯定烂大街了,于是花了点时间找到了源码,尝试审计。 下载回来源码用seay扫描下,源码又太大我也懒得去本地搭建,直接用源码对着目标进行怼。 从中发现了个fileupload.php文件好像有点问题。 访问目标发现也存在该文件。把该文件提取出来到本地搭建的环境中做测试。 直接访问会自动创建出upload和upload_tmp两个文件夹,这玩意是个demo这个点其实看起来更像个后门。 并且filename变量完全是可控的。 继续往下看发现一些判断,可以表单上传名就为file。 其他的就不用管了,直接改个上传表单。只要加上参数name和file就行了。 name参数控制上传文件名为aaa.php 选择1.jpg上传 上传后没有返回路径但是在upload下已经存在aaa.php文件。
变量中where的值又是来自request中,并且上面的checkinput中也没有检测type的值。 没有任何处理就直接带入查询了,类似点还有许多。 通过之前的上传拿到webshell,尝试提权。 发现是debian的。 发现有6379端口但是不是root用户启动的redis 看了下内核版本感觉应该可以,尝试寻找提权exp。 生成msf马 为了方便我就用msf上线了这台机器。然后寻找对应的提权exp。 找到这两个CVE-2019-13272、CVE-2017-16995 当我在github上找利用工具的时候,我想起msf其实也自带提权的。 于是尝试搜索了下 搜到了就利用 结果当场失败 尝试第二个CVE-2017-16995 成功返回一个root权限的会话,提权完毕
转载于原文链接: https://mp.weixin.qq.com/s/Yh0qq5imlfHhNQnbtPfxcA
标签:尝试,发现,BC,杀猪,提权,源码,一条龙,php,上传 From: https://www.cnblogs.com/backlion/p/17947577
没有任何处理就直接带入查询了,类似点还有许多。标签:尝试,发现,BC,杀猪,提权,源码,一条龙,php,上传 From: https://www.cnblogs.com/backlion/p/17947577
相关文章
- 记一次某杀猪盘渗透测试最近偶然发现一个虚拟货币买涨跌的杀猪盘,遂进行了一波测试,前台长这样。为thinkphp5.0.5随用RCE进行打入,成功写入webshell。s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_dec......
- Bclinux系统安装MongoDB1、下载安装包wgethttps://fastdl.mongodb.org/linux/mongodb-linux-x86_64-4.0.28.tgz2、解压重命名[test@localhost~]$tar-zxvfmongodb-linux-x86_64-4.0.28.tgz[test@localhost~]$rm-rfmongodb-linux-x86_64-4.0.28.tgz[test@localhost~]$mvmongodb-linux-x86_64......
- JdbcTemplate的基本使用-新增一、JdbcTemplate的基本介绍JdbcTemplate是Spring对JDBC的封装,目的是使JDBC更加易于使用,JdbcTemplate是Spring的一部分。JdbcTemplate处理了资源的建立和释放,它帮助我们避免一些常见的错误,比如忘了总要关闭连接。他运行核心的JDBC工作流,如Statement的建立和执行,而我们只需要......
- Apache Commons BCEL与Java字节码操作第1章:ApacheCommonsBCEL简介大家好,我是小黑,咱们今天来聊聊ApacheCommonsBCEL(ByteCodeEngineeringLibrary)。你可能会问,BCEL是什么鬼?别急,小黑这就给你娓娓道来。BCEL,它是一款专门用来操作Java字节码的库。想象一下,Java代码编译后变成了字节码,这些字节码是Java虚拟机执行的......
- JDBC 批量操作 in 的使用我们经常会有这种业务需求,根据一个条件集合去查询一张表的数据,比如:select*fromall_elementtwheret.task_idin(List<taskids>);在java语言中,我们需要用到JDBC来和数据库打交道,那么在JDBC中该如何处理这种需求呢?我们可以有如下几种处理方式方案一:写一个函数把参数集合......
- [ABC271E] Subsequence Path 题解[ABC271E]SubsequencePath题解思路解析很好的一道题,很有迷惑性,表面上是一道图论实际上是dp,定义\(f_{i}\)为从\(1\)到\(i\)的最短“好路”。先把每条边对应的起点,终点和边权记录下来,然后输入每个\(e\),由于是子序列顺序不会改变,因此可以顺序进行操作。对于每一个\(e......
- 【JDBC】Java数据库连接:操作流程、API、数据库连接池JDBC简介JDBC(JavaDataBaseConnectivity)Java数据库连接JDBC是使用Java语言操作关系型数据库的一套APIJDBC操作数据库流程JDBCAPIDriverManager驱动管理类Connection数据库连接对象StatementResultSet结果集对象PreparedStatementPreparedStatement好......
- dremio hive jdbc arp date 类型问题记录简单记录下碰到的一些问题分析arthasstack查看调用对于hive是类似的,我测试的是mysql的stackcom.mysql.cj.jdbc.result.ResultSetImplgetDate效果ffect(classcount:2,methodcount:4)costin329ms,listenerId:11ts=2023-12-2606:18:17;thread_name=e3-1a758f......
- 无涯教程-Java 正则 - [a-z&&[^bc]]匹配函数字符类[a-z&&[^bc]]匹配从a到z的任何字符(b和c除外)。以下示例显示了字符类匹配的用法。packagecom.learnfk;importjava.util.regex.Matcher;importjava.util.regex.Pattern;publicclassCharacterClassDemo{privatestaticfinalStringREGEX="[a-z&&[^bc......
- 无涯教程-Java 正则 - [abc]匹配函数字符类[abc]匹配a,b或c。[abc]-示例以下示例显示了字符类匹配的用法。packagecom.learnfk;importjava.util.regex.Matcher;importjava.util.regex.Pattern;publicclassCharacterClassDemo{privatestaticfinalStringREGEX="[abc]";privatestatic......