webshell
一般我们的渗透流程就是信息收集,发现漏洞,漏洞利用,一些漏洞成功之后获得一些相应的权限,还有一些是漏洞利用成功之后并没有取得的权限,而这个权限是要通过漏洞利用之后在利用其它地方取货的权限。
权限的获取大多数体现在三个地方,分别是后台,漏洞,第三方,
后台:登录了这个网站或者应用的后台,通过后台获取到网站权限,
漏洞:有一些漏洞单点漏洞可以直接拿下webshell,比如文件上传,上传一个后门文件,有些漏洞就不行,比如跨站漏洞,不足以直接得到权限。另一种方法组合漏洞比如文件泄露,找到了数据库源码文件,然后连接上数据库,在发现了后台账号密码登陆上去,在获取webshell这是要一个组合的多个漏洞获取的。
第三方:在网站搭建的时候,有一些第三方的软件或者是平台会危害到网站的安全,比如编译器哎,中间件平台(iis,apache),插件类比如,phpmyadmin,一些站住为了便于管理数据库,可能会用phpmyadmin管理应用,可能通过phpmyadmin,可以爆破这个phpmyadmin进入后台之后,执行sql命令。
我们拿到网站权限之后,还会对其他权限进行一个获取,比如系统权限,其他等等权限
简单来说,我们先拿到服务器权限,才能对这个服务器上的网段,内网进行安全测试。
注重理解当前权限所能做的事情,比如为什么要拿网站权限,假如在拿到一个网站后台后,在后台继续操作,假如网站仅仅是一些新闻,博客,有一些后台可能还能进行文件的修改,具体还是需要看网站的功能。
第一是看功能点,看这个网站的后台功能多不多,有的可以全部操作,可以文件上传,模板修改,sql执行,数据备份等等。
第二看思路点,第一个是已知程序,知道对面使用什么搭建的,比如worepress,知名的cms、可以直接在网上搜后台获取webshell方法,或者源码下载去代码审计。
如果是未知程序,还要跳转到他的功能点,在进行分析。
案列演示1某挂壁程序后台权限提升-后台功能
这个是老师自己搭建的一个卖外挂的网站
通过目录扫描找到后台登陆地方
然后账户密码知名获取的,也是通过一些备份文件找到的,但是老师不细说
登录到后台之后,并不能对网站的源码做什么,然后开始按照思路来,是否是已知程序,是的,站帮主cms,
这个直接去网上搜寻下载,然后后台登陆路径就根据源码找,也是一样的
但是在网上搜索他拿shell,并没有,这是因为他这个cms太小众了,没人想打
直接进入到代码审计
搜upload和上传有关的关键字,刚好路径也是在后台,可以在后台操作,
经过慢慢查找,找到了上传的地方
然后上传一个图片文件做测试,看看会调用那些文件去上传
去查看这个文件是不是文件上传的代码,
代码注释的很清楚,没有看到关于过滤的东西,还贴心的吧文件路径给了我们,
这里是因为,之前上传图片之后,在网站里面显示了出来,然后旁边是一个图片裂开的文件,因为网站去吧后门文件当作图片格式去解析了,所以,直接在那个裂开图片哪里,可以看元素,找到后门对应的路径,
后门地址
思路总结:在登陆到后台之后发现了cms,去网上下载出来源码之后,开始找一下漏洞关键字,然后测试,测试成功。如果没有发现cms,就对网站后台的功能点测试,都点开看看也能找到这个上传的地方。
基于webshell权限,通过漏洞获取
案列2某 BC 广告导航页权限提升-漏洞层面
这个网站并没有cms之类的,老师纯自己搭建
这个是通过加载网页的时候抓包发现中间件有问题
Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
就是这个,这个在网上一搜就发现phpstudy,然后刚好phpstudy5.4.45有一个rce漏洞。
我这百度复现的poc之后,发现复现不了
查看了一下漏洞存在的文件,发现没有了,应该是修复了。
通过第三方接口类获取权限
苏丹大西瓜 GlassFish 中间件-第三方
搜到网站之后,直接去百度搜索他的漏洞
这马上就找了一个漏洞,版本也对应的是,那就是可以利用。
我直接在fofa搜索了一个作为测试目标
复制poc就获取到了敏感信息。
而这就是一个任意文件读取漏洞,找一些特有的文件,直接加上去就可以读取,然后如果读取到了,如何读取到了linux用户的哈希值,就可以尝试登陆。
总结:
具体哪些权限需要掌握和了解?
后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等
后台权限:
一般网站后台或者应用后hu台,只能操作应用的界面内容,数据图片等信息,无法操作程序的源代码或者服务器上的资源文件。(如果后台存在文件管理功能,就可以操作文件的数据)
网站权限:(获取方式:爆破,注入猜解,弱口令等方式获取账号密码配合登录)
查看或者修改程序源代码(一般都可以,如果文件设置了只有管理员权限可以查看和修改,普通用户就只能查看。),可以进行网站的应用配置文件读取(比如接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续操作系统提权做准备。
数据库权限:
操作数据库的权限,数据库的增删改查等等,源码活配置文件泄露,也可能是网站权限(webshell),进行数据库配置文件的读取而获得。
接口权限:(邮件,短信,支付等)
接口是根据网站的应用来决定的,购物的就必定有支付接口,给邮箱发送邮件的肯定有邮件接口,
一般接口权限怎么获得:后台或者网站权限后的一个获取路径,后台(修改配置信息功能点)。
网站权限就直接查看配置文件获取。
这些都是出于我们渗透过之后,有一些目的达不到,就会做提权。
fa
cai
