某日网上冲浪的时候看到个网站,原来是小日...小日子过得不错的巴嘎酱的站点[aru_8],那不得帮它测试一下,收集筛选后的有用信息如下:
真实IP 211.6.0.0
pma http://bxxxxd.or.jp/mysqladmin/
管理面板? http://bxxxxd.or.jp/ControlPanel/
sql备份 http://bxxxxd.or.jp/buxxxo.sql
phpinfo http://bxxxxd.or.jp/Search2/www/
XSS http://www.bxxxxd.or.jp/Search2/www/user/search.php5
SQL注入? http://www.bxxxxd.or.jp/Search2/www/user/search.php5
中间件 Apache/1.3.14 PHP/5.3.3 Pma/4.0.10.19 MySQL/5.1.73
突破点SQL注入:
xray扫出来的是xss,但是测试发现有sql报错[aru_50],然后丢进sqlmap开始测,经过漫长的等待终于注成功了[aru_59]。
然后开始跑表跟字段,跑了半天没跑出数据,发现用户表里面是空的,后台上不了,这尼玛[aru_39],由于之前收集到的信息中这个站是有pma的,索性直接跑数据库的账号和密码,通过pma来登录数据库。
一共两个账号,一个密码没跑出来,用有密码的帐号来登录。
user表里没数据,什么有用的都没有,上后台是无望了,两个账号管理的是同一个库,之后尝试SQL写shell,用pma日志,包含,远程代码执行来getshell,结果都是失败告终,权限做的太死了,笑死根本写不进去[aru_72]。
后面问了大佬说用hex(load_file)读文件[aru_147],但是除了读到另外一个数据库的密码外,也没得其他发现,此时事情陷入了僵局,后面大佬说写个crontab弹shell,一番尝试后也整不成,局面又陷入了僵局[aru_154]。
就这么算啦?那哪成,后面又试了udf提权,提了个mysql的运行账户权限[aru_7],后面又尝试"dirtycow","sudo Baron Samedit"版本都对的上就是没提成ROOT[aru_19],成功了但是没有完全成功,关机关机太菜了放弃了[aru_159]。
参考链接:Mysql udf提权(Linux平台)mysql提权linux
END
本文作者为QioCuIi,转载请注明。