从无回显命令执行到getshell的渗透测试

港控/mmm° 2023-10-12 09:16 27阅读 0赞

**前言**

事情起源于一次渗透测试，机缘巧合之下，发现了一个PHP imap远程命令执行的漏洞点。但尴尬的是，这块命令执行并不会有回显，由此开始了今天的探测之旅。

![36562b06ed427505c189bd8d88d091d7.jpeg][]

**正文**

既然已经可以确定是命令执行漏洞，那肯定就是进行一波反弹shell操作，结果你懂得，完全没有任何反应。

![56f019baf03a89065319aef23b1e6823.jpeg][]

反弹shell的失败，让我对这个命令执行漏洞点产生了怀疑，是已经修复了？还是权限不足？为了验证此点的可用性，我决定先拿DNSlog测试一波。

这里我使用的burp自带的一个Burp Collaborator client功能块。构造好payload，改包发送。这里需要注意的是，payload需要先进行base64编码，然后进行URL编码后才能进行发送。Username和password是任意填写的，并不影响执行。

![b52f7b49b4b7276f569a2f038580a4de.png][]

![fabd51e51020c9d260570750c1b1527b.png][]

等待了许久，并没有发现任何DNSlog数据，在准备放弃之时，想起了还可以用http请求的方式携带数据，开始重新构造payload进行尝试，说不准能有意外惊喜呢。

![0c5737b7e6e0f6ddef5458881a3aa6c5.png][]

![c94b88fa000da4640d63fc840ab337aa.png][]

这次，成功获取到了用户名，可惜并不是root权限账户。查看一下当前路径，并由此去确认一下操作系统。

![7869826a978442e74f4a8c14dd470012.png][]

![765bf663fb0a3aa45f631c19d05d8138.png][]

看到成功返回信息，并由此可以确定当前系统为linux系统。接下看就是查看当前目录下的文件，看看有没有配置文档。

![63f107c2c7277179087f471d9428c8de.png][]

![a4e7317f216527f7b8f34874beffe682.png][]

原本以为会有很多文档，但等待了半天发现只有一条信息，顿时有点失望。在失望之余，总觉得有不对劲之处，web目录下怎么会单纯只有一个admin目录？

于是，我开始打开我的虚拟环境，对我自己的系统下的目录进行同类型操作，果然，返回结果只有一条，证明了命令存在问题。

经过查资料后，发现如空格、!、$、&、?等特殊字符，是无法通过DNSlog将数据携带出来。那既然如此，只好让内容先进行base64编码，然后在进行输出。同样，现在我自己系统上线进行尝试。

![e526da1ccdb6c53d736830a378d30580.png][]

![53a5eeb79ff7cc600c0b81127e7fb9f1.png][]

使用同样的方式对目标系统进行读取，经过漫长的等待，发现并没有获取到任何信息。这就很是尴尬，编码前最起码还有一条信息，编码后完全没了。

![c7c46772fb2802294e83729a0a9df84c.png][]

通过万能的搜索大法了解到，DNS每一级域名长度的限制是63个字符，所以，猜测可能是文件内容过多，导致生成的base64太长，所以域名携带不出来。

办法总比困难多，经过不断尝试，发现可以通过简单的for循环语句，将当前目录下的每个文件逐条输出。

![bbdfb6f439e3ac9c8184fd46dbfd42d7.png][]

![586243418d979523c07986e153dca3b8.png][]

发现产生了大量的http请求记录，由于Burp Collaborator client功能块不支持将数据导出查看，那这样一条一条的读取就显得十分麻烦。所以，我计划在自己搭建一个http服务，用来获取数据。

![4bf0035ac8d89b3da36b862e1e9d140b.png][]

![740a5c20ea6b0bc1e43da0dfba82bd8b.png][]

这样看来的确比burp中显示的清晰许多，但我觉得还能更清晰明了。发现每条记录我们所所需要的内容都在特定字段,那就就可以把控制台输出的日志内容保存并正则匹配出想要的内容，存储为新的文件即可。

![e36ab46738731ff85014d816528d12af.png][]

分分钟打开了我的pycharm进行脚本的编写。（注：原本想使用重定向先将控制台内容进行保存，然后在正则提取需要字段，结果发现重定向并不能将控制台的内容写入文件）

from http.server import HTTPServer, BaseHTTPRequestHandler
    import re
    PORT_NUMBER = 6666
    class myHandler(BaseHTTPRequestHandler):
        buffer = 1
        log_file = open('logfile.txt', 'w', buffer)
        #正则匹配出需要的字段，并将内容写入到logfile.txt
        def log_message(self, format, *args):
            regex = r"GET \/(.*?) HTTP"
            test_str = ("%s - - [%s] %s\n" %
                                (self.client_address[0],
                                 self.log_date_time_string(),
                                 format%args))
            matches = re.finditer(regex, test_str, re.MULTILINE)
            for matchNum, match in enumerate(matches, start=1):
                for groupNum in range(0, len(match.groups())):
                    groupNum = groupNum + 1
                    log = match.group(groupNum)
            self.log_file.write("%s \n" % log)
        #GET请求的处理程序
        def do_GET(self):
            self.send_response(200)
            self.end_headers()
            return
    try:
        #创建Web服务器并定义管理器
        server = HTTPServer(('', PORT_NUMBER), myHandler)
        print('Started httpserver on port ' , PORT_NUMBER)
        #永远等待传入的http请求
        server.serve_forever()
    except KeyboardInterrupt:
        print('^C received, shutting down the web server')
        server.socket.close()

将上边的脚本保存为httpserver.py,直接运行脚本，并在目标机器执行刚才的命令。读取logfile.txt。

![e23115f87348c6c483b0cdf0ddcfc270.png][]

使用这样的方法，经过不懈努力找到了目标下的配置文件，发现了数据库的账户密码。

![4bace1f78f799a8b82612341c9bcd7c2.png][]

在信息收集阶段，发现了phpmyadmin，那会还苦于没有账户密码，现在问题已经解决，成功登录，获取到用户数据。

![2229f924fe3f4d8da00108725713a1f0.png][]

![32a69f60c8e7feb20b2a2ec3d1e8d751.png][]

以为到这里就结束了？怎么可能，废了如此大力气，不拿到shell怎肯罢休。尝试使用mysql UDF（用户自定义函数）的功能进行getshell。

先通过命令查询mysql插件的路径。

![33fb55fd9ada4bc8bc234ab0c1919067.png][]

根据phpmyadmin首页的显示，知道了mysql版本为5.7,那我们需要进一步查询secure\_file\_priv允许的路径，经过查看，路径为空（非NULL），这就说明，任何路径下均可对数据库进行导入导出操作。已经看到成功的希望了。心中默默祈祷插件库路径有写入权限。

![41348cfdea04af0b03c09c0cf3609125.png][]

向插件库写入一个二进制恶意文件，并保存为mysqludf.so,执行，发现写入成功。

![51881fdde33d8766d76a1be1e69bf520.png][]

通过写入的插件，创建一个sys\_eval的功能，用于执行系统命令。

![0108e94ca000aa098c64a130908f9f1c.png][]

尝试执行whoami命令，成功执行，通过ASCII解码得mysql权限。

![7d36332f50dc33c8f32b9981b26a2e92.png][]

![5b6ad1d73e736fa8a7e5c6593246133b.png][]

既然可以执行命名，那老规矩，还是弹shell，不出意料，这次getshell成功。

![6abe760ad1549a6867bd2446ef0aa0cf.png][]

![0496a69844fa33faf6a8effc24a627dc.png][]

本次为渗透测试，所以到此就没有继续了，如果是攻防演练，getshell后还可以对生成的文件进行清理，隐藏的更深不易被发现。

**总结**

1.  在无回显的时候，通过DNSlog的dDNS查询和http请求，曲线的方式得到回显内容。
2.  可以自己搭建http服务来，并通过脚本更好的观察请求数据携带的回显内容。
3.  Mysql大于5.5时，secure\_file\_priv参数一定要根据需求写，如果无这方面需求，要写为NULL。
4.  对于插件库等危险较高的路径，一定要对写入和执行权限进行严格的控制。

### 如何入门学习网络安全 ###

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。  
![7929e1e9c7594fb48dcc72b5a48bf4f0.png][]

同时每个成长路线对应的板块都有配套的视频提供：

![95c51a2db203495cacd852a94dbe0814.png][]

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

**[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享][CSDN]**

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。  
![在这里插入图片描述][69ab0c080ea94332b51bd55d6afec28f.png]

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

**[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享][CSDN]**

[36562b06ed427505c189bd8d88d091d7.jpeg]: https://img-blog.csdnimg.cn/img_convert/36562b06ed427505c189bd8d88d091d7.jpeg
[56f019baf03a89065319aef23b1e6823.jpeg]: https://img-blog.csdnimg.cn/img_convert/56f019baf03a89065319aef23b1e6823.jpeg
[b52f7b49b4b7276f569a2f038580a4de.png]: https://img-blog.csdnimg.cn/img_convert/b52f7b49b4b7276f569a2f038580a4de.png
[fabd51e51020c9d260570750c1b1527b.png]: https://img-blog.csdnimg.cn/img_convert/fabd51e51020c9d260570750c1b1527b.png
[0c5737b7e6e0f6ddef5458881a3aa6c5.png]: https://img-blog.csdnimg.cn/img_convert/0c5737b7e6e0f6ddef5458881a3aa6c5.png
[c94b88fa000da4640d63fc840ab337aa.png]: https://img-blog.csdnimg.cn/img_convert/c94b88fa000da4640d63fc840ab337aa.png
[7869826a978442e74f4a8c14dd470012.png]: https://img-blog.csdnimg.cn/img_convert/7869826a978442e74f4a8c14dd470012.png
[765bf663fb0a3aa45f631c19d05d8138.png]: https://img-blog.csdnimg.cn/img_convert/765bf663fb0a3aa45f631c19d05d8138.png
[63f107c2c7277179087f471d9428c8de.png]: https://img-blog.csdnimg.cn/img_convert/63f107c2c7277179087f471d9428c8de.png
[a4e7317f216527f7b8f34874beffe682.png]: https://img-blog.csdnimg.cn/img_convert/a4e7317f216527f7b8f34874beffe682.png
[e526da1ccdb6c53d736830a378d30580.png]: https://img-blog.csdnimg.cn/img_convert/e526da1ccdb6c53d736830a378d30580.png
[53a5eeb79ff7cc600c0b81127e7fb9f1.png]: https://img-blog.csdnimg.cn/img_convert/53a5eeb79ff7cc600c0b81127e7fb9f1.png
[c7c46772fb2802294e83729a0a9df84c.png]: https://img-blog.csdnimg.cn/img_convert/c7c46772fb2802294e83729a0a9df84c.png
[bbdfb6f439e3ac9c8184fd46dbfd42d7.png]: https://img-blog.csdnimg.cn/img_convert/bbdfb6f439e3ac9c8184fd46dbfd42d7.png
[586243418d979523c07986e153dca3b8.png]: https://img-blog.csdnimg.cn/img_convert/586243418d979523c07986e153dca3b8.png
[4bf0035ac8d89b3da36b862e1e9d140b.png]: https://img-blog.csdnimg.cn/img_convert/4bf0035ac8d89b3da36b862e1e9d140b.png
[740a5c20ea6b0bc1e43da0dfba82bd8b.png]: https://img-blog.csdnimg.cn/img_convert/740a5c20ea6b0bc1e43da0dfba82bd8b.png
[e36ab46738731ff85014d816528d12af.png]: https://img-blog.csdnimg.cn/img_convert/e36ab46738731ff85014d816528d12af.png
[e23115f87348c6c483b0cdf0ddcfc270.png]: https://img-blog.csdnimg.cn/img_convert/e23115f87348c6c483b0cdf0ddcfc270.png
[4bace1f78f799a8b82612341c9bcd7c2.png]: https://img-blog.csdnimg.cn/img_convert/4bace1f78f799a8b82612341c9bcd7c2.png
[2229f924fe3f4d8da00108725713a1f0.png]: https://img-blog.csdnimg.cn/img_convert/2229f924fe3f4d8da00108725713a1f0.png
[32a69f60c8e7feb20b2a2ec3d1e8d751.png]: https://img-blog.csdnimg.cn/img_convert/32a69f60c8e7feb20b2a2ec3d1e8d751.png
[33fb55fd9ada4bc8bc234ab0c1919067.png]: https://img-blog.csdnimg.cn/img_convert/33fb55fd9ada4bc8bc234ab0c1919067.png
[41348cfdea04af0b03c09c0cf3609125.png]: https://img-blog.csdnimg.cn/img_convert/41348cfdea04af0b03c09c0cf3609125.png
[51881fdde33d8766d76a1be1e69bf520.png]: https://img-blog.csdnimg.cn/img_convert/51881fdde33d8766d76a1be1e69bf520.png
[0108e94ca000aa098c64a130908f9f1c.png]: https://img-blog.csdnimg.cn/img_convert/0108e94ca000aa098c64a130908f9f1c.png
[7d36332f50dc33c8f32b9981b26a2e92.png]: https://img-blog.csdnimg.cn/img_convert/7d36332f50dc33c8f32b9981b26a2e92.png
[5b6ad1d73e736fa8a7e5c6593246133b.png]: https://img-blog.csdnimg.cn/img_convert/5b6ad1d73e736fa8a7e5c6593246133b.png
[6abe760ad1549a6867bd2446ef0aa0cf.png]: https://img-blog.csdnimg.cn/img_convert/6abe760ad1549a6867bd2446ef0aa0cf.png
[0496a69844fa33faf6a8effc24a627dc.png]: https://img-blog.csdnimg.cn/img_convert/0496a69844fa33faf6a8effc24a627dc.png
[7929e1e9c7594fb48dcc72b5a48bf4f0.png]: https://img-blog.csdnimg.cn/7929e1e9c7594fb48dcc72b5a48bf4f0.png
[95c51a2db203495cacd852a94dbe0814.png]: https://img-blog.csdnimg.cn/95c51a2db203495cacd852a94dbe0814.png
[CSDN]: https://mp.weixin.qq.com/s?__biz=Mzg2OTM0MTYwNw==&mid=2247485343&idx=1&sn=1abafab670cea0773c36c46d394f5538&chksm=ce9fc757f9e84e41c2e86c956b4e93aaf4472b27ff3e94fe89e78f014db6f1b0261b15fa794f&token=1512649782&lang=zh_CN#rd
[69ab0c080ea94332b51bd55d6afec28f.png]: https://img-blog.csdnimg.cn/69ab0c080ea94332b51bd55d6afec28f.png