一切从数据库密码泄露开始
其实我一直想尝试的是,弱密码进入别人后台搞一番事情,但是这种事情我也只能从别人的文章中看得到了!哈哈哈哈哈哈这也太难受了!那我是如何进入别人后台的呢!也是从数据库密码泄露开始。在翻找以前留下的shell中,在一个旁站的数据库配置文件中发现了一个不同寻常的数据库链接IP地址。
那我尝试着去链接这个数据库看看,发现这个数据库里面都包含着wordpress的数据库数据。
鲁迅说的好,没有什么事情是偶然的,也没有什么事情是必然的。既然数据库的账号密码已经知道了,那我就抱着学习研究的态度去渗透一些这个网站看看。首先拿到这个IP地址,必然需要知道这个IP地址是否有搭建网站,如果这台服务器是单纯的数据库服务器的话,那渗透的难度我绝对可能就会大点了。使用域名反查查询一下,发现这个IP地址的确有搭建一个网站。
那么我就访问之,发现这个网站的的确确挺漂亮的哦!而且是一个ubuntu作为服务器的网站
使用插件查看一些网站的一些指纹信息,这个wordpress的版本是5.4.2。ubuntu的操作系统,服务器的中间件是Apache2.4.18的版本。接下里查看一下端口的信息
接着对网站的目录进行扫描一波,这里扫描除了phpmyadmin的路径和一个info.php。这个info.php比较敏感,经验推测的话应该就是phpinfo。接下来可以通过登陆到phpmyadmin进入之后通过phpinfo泄露的网站绝对路径写入一句话进去获取webshell
这里我直接使用泄露的数据吗密码登陆进phpmyadmin。进入之后第一步我是采用写入一句话的方式尝试一下是否能写入一句话进去。首先需要查看secure_file_priv是否为空。很可惜的是这个已经限定了路径。这样的话就不可以写一句话到网站的绝对路径了!
如果secure_file_priv不为空的话,在写入数据库的时候也会提示secure_file_priv不为空
接下里的思路就是通过日志获取webshell了。首先查看一下general_log变量是否已经开启。如果未开启的话需要把它开启
代码语言:javascript复制SHOW VARIABLES LIKE "general_log"
set global general_log='on'
但是在第二步设置日志的存放位置的时候发生了错误,这个错误很奇怪。经过测试之后发现这个路径只能设置在mysql文件加下面。并不能设置到网站的绝对路径
从wordpress后台入手
测试了一番发现phpmyadmin这里不能入手测试,那只能放弃phpmyadmin这个入口了。从phpmyadmin里面查询出wordpress的后台密码,心想这次我直接就从后台入手了。可是。。。。
好吧!贫穷的我并没有开VIP哈哈哈哈。那就只能富贵险中求了!我直接把管理员的密码给修改了吧!虽然很不好,那我就只是进去一下下就出来!这里我选择了一个管理员权限的用户进去了后台。
说好了只是进去一下下,那我进去之后我新增一个管理员过去,接着把我修改了密码的管理员的密码恢复回去了!
说实话wordpress后台管理我也不是很熟悉,获取shell的话也不是很懂。一般两个方法比较直接拿shell吧,通过添加一句话到外观或者外挂!额外挂好像就是插件吧!就是插件。首先我尝试的是在外观这里添加一句话。选择在404这里添加!
但是尝试了一番发现不可以写入,提示需要管理员以上传的方式来修改。
那就只能尝试在插件里面修改了!进去之后查看一番安装了什么插件,选择性的挑选一个。
首先需要测试一下是否能访问到插件,在之前目录扫描的时候发现了/wp-content/ 这是可以访问得到的。这里并没有显示403禁止访问,也没有报错。
之后对几个插件进行了测试,发现要不是403拒绝访问要不就是报错要不就是500。最终之后一个可以插入访问的下来
接着直接使用蚁剑链接进入,每次看到蚁剑显示出绿绿的东西出来,都感觉到心里一整舒畅哈哈哈!
最后蚁剑这个shell也可也执行命令,再查看网卡的时候发现有docker。也许这个服务器很多都是靠docker部署的吧!接下里的后渗透就先放一下了!
最后把之前创建的账号删除了!希望管理员当时不在线,哈哈哈哈老希望工程了!其实最后我也算是体验了弱口令进入后台了吧哈哈哈