向吃鸡外挂站开炮(三)——yzddMr6

本篇已授权公众号“HACK学习呀”转载

向吃鸡外挂站开炮(一)
向吃鸡外挂站开炮(二)

前言

第三篇终于写好了,也算是比较有意思的一篇,遇到了很多坑,也用上了很多小技巧,写出来博君一笑。

正文

毫无套路的炫酷界面

image

琳琅满目的商品列表

image

这种卖黑号的通常都是跟各种hc商勾结在一起,用木马盗取用户账号,然后再出售账号让孤儿开挂。

Getshell

getshell的过程懒得再复现一遍了,直接说思路吧。

发现用的是一套已知的发卡系统,Fi9coder刚好在我星球里发过此发卡系统的漏洞合集。

自己也审了一下,确实漏洞比较多。

随便找一处

submit.php里直接把$gid带入数据库查询,产生注入

image

然后到后台logo处未过滤直接可以上传shell

理论上很简单,但是实际上遇到了一些坑。

第一个是对方似乎开了宝塔的防护,注入跟上传都会被拦截。

我用的绕过办法是,注入用的参数污染,上传用的星球里嘉宾九世分享的bypass宝塔上传方法,换行绕过,一句话用的webshell-venom。

第二个是找不到后台

解决办法是找到他的一个旁站,然后谷歌找到了他旁站的后台。

image

国外服务器,旁站都是这种乱七八糟的非法站,用的都是同一套有漏洞的系统。

猜想可能都是这个后台,果然如此

image

比较有意思,后台地址是 /sima ,看来站长也知道自己是个什么东西。

拿着注入出来的账号密码就进去了

image
image

Bypass disable function

确实是getshell了,但是连接的时候出了问题,蚁剑连接的时候一直转圈圈

发现是流量被检测后直接封ip了。

image

因为用的webshell-venom生成的马,兼容流量编码,所以开始解决办法是传一个id参数,然后用蚁剑的base64-bypass编码器,把所有的payload都base64一遍。

image

结果后面发现连接了一会儿又被封了。。。。

再换上用自己写的蚁剑参数污染模块,总算是不被封了。。。

image

宝塔默认会禁用系统函数,需要Bypass disable function

image

用蚁剑自带的bypass插件

发现因为宝塔的原因,会直接拦截上传的php

image

解决办法是代理到burp后把payload抠出来,手动上传。

(我也不知道为什么自动上传不行手动就可以了。。。)

image
image

成功执行命令

image

曲折的提权

发现是2015的内核后笑开了花,脏牛一把梭走起。

首先弹个msf回来,这样就可以有交互式shell

但是发现firefart的exp会直接把系统搞崩。。。服务器直接挂了

image

本来以为是偶然情况,等到第二天服务器又恢复了又提了一次结果还是宕机。。。

所以又等了一天。。。

冷静分析一下,首先脏牛是肯定可以打的,因为内核版本确实在脏牛攻击范围内,并且firefart的exp确实有回显。

因为firefart是直接给你一个加了一个用户,并不会主动返回root权限的shell,需要你su切换或者去登录,猜想可能在覆盖的过程中造成了内核crash就宕机了。

猜想是否可以用直接返回root shell的exp来解决。

explit-db找到了这一个 https://www.exploit-db.com/exploits/40847

编译一下,加个-s参数保存/etc/passwd文件

image

看到了久违的root

拿下宝塔

先把他的passwd给恢复回去,不然一会儿机器又崩了就打不开了

image

找到存有宝塔密码的数据库

/www/server/panel/data/default.db

同目录admin_path.pl下找到面板路径

扔到somd5里解密

image
image

成功进入面板


image

其实进面板的时候怕他绑了微信有提醒,结果没有,哈哈

发现管理员登录IP


image

查一下地址是福建的

image

拿到数据库root密码(虽然没啥用)

image

到此已经拿下服务器所有权限,清除痕迹擦屁股走人。

最后

有些图是后来补的,如果觉得有说的不对的地方欢迎跟我交流。

法律红线切不可碰,证据全部打包,提交给网警同志。

最后,吐槽一句吃鸡外挂越来越多了,越来越没游戏体验了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,590评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,808评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,151评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,779评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,773评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,656评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,022评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,678评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,038评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,756评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,411评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,005评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,973评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,053评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,495评论 2 343