起因:
朋友突然告诉我他的服务器被冲了让我帮忙看下:
分析源文件:
首先在服务器发现一个php文件 非常可疑。可疑到什么程度?朋友的站架设在bbs里面
但是在html目录下存在一个php文件:
进入后查看:
打开后发现是小透明师傅之前的反序列化马:
具体链接如下:
http://www.f4ckweb.top/index.php/archives/7/
并且我觉得我朋友还有点弱智 他把他的ssh账号密码放到了网站根目录下面:
不被搞才怪 查看历史:
开始反制:
目标站点打开后:
fofa一顿搜索后发现目标存在宝塔面板:
思索了一会得出结论 不好搞。只能从web入手 先收集指纹 运气比较好直接从cookie里知道目标指纹信息了:
onethink默认后台是/admin.php,但是这个站点把后台地址改掉了:
只能通过日志进行判断 构造url:/Runtime/Logs/Admin/20_12_07.log
打开后台地址:
登录框存在注入:
构造好payload:
- username[]=IN ('a') union select 1,2,'',4,5,6,7,8,9,10,11,12 -- &use
- rname[]=111&password=&verify=90
成功绕过登录:
得还是个杀猪盘 能控制开奖:
找到目标创建插件的地方 得到目标后台Getshell:
成功getshell:
后渗透:
使用Restorator 2018 修改资源后得到木马:
在webshell上部署flash弹窗:
登陆后会弹出提示:
一觉睡起来得时候目标已经上线几次并且掉线了。。。
|
