来源:https://blog.csdn.net/YuanXi001/article/details/110918504起因:朋友突然告诉我他的服务器被冲了,让我帮忙看下: 分析源文件:首先在服务器发现一个php文件,非常可疑。 可疑到什么程度? 朋友的站架设在bbs里面,但是在html目录下存在一个php文件: 进入后查看: 打开后发现是小透明师傅之前的反序列化马: 具体链接如下: http://www.f4ckweb.top/index.php/archives/7/ 并且我觉得我朋友还有点弱智, 他把他的ssh账号密码 放到了网站根目录下面: 不被搞才怪,查看历史: 开始反制:目标站点打开后: fofa一顿搜索后发现目标存在宝塔面板: 思索了一会得出结论,不好搞。 只能从web入手,先收集指纹,运气比较好直接从cookie里知道目标指纹信息了: onethink默认后台是/admin.php,但是这个站点把后台地址改掉了: 只能通过日志进行判断,构造url:/Runtime/Logs/Admin/20_12_07.log 打开后台地址: 登录框存在注入: 构造好payload: username[]=IN (‘a’) union select 1,2,’’,4,5,6,7,8,9,10,11,12 – &username[]=111&password=&verify= 90 成功绕过登录: 得还是个杀猪盘,能控制开奖: 找到目标创建插件的地方,得到目标后台Getshell: 成功getshell: 后渗透:使用Restorator 2018 修改资源后得到木马: 在webshell上部署flash弹窗: 登陆后会弹出提示: 一觉睡起来得时候目标已经上线几次并且掉线了。。。 |
版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!