我在云上批量抓鸡的故事(上)–从webshell到远程桌面

我在云上批量抓鸡的故事(上)–从webshell到远程桌面

这是我亲身经历的一些事情,本来很早之前就想写出来,却因为各种原因一直没有写下来。之前很多朋友问过我抓鸡的事情,我相信也是我很多朋友最想知道的。趁着新年第一天在家闲着,将这些有趣的故事娓娓道来。不过看到标题先不要误会,我并不搞黑产,只是在此过程中也看到了不少黑产的踪影。这篇文章只讲故事,不谈技术。

讲到这个故事,要从大一下的时候说起。因为当时经常参加各种互联网+一类的比赛,需要用到服务器,所以在老师的资金帮助下,我就弄到了很多阿里云的vps。反正这些机子我都可以随便搞,所以就装了lnmp,phpstudy这一类的一键安装包,自己做些网站练手。

但凡用过lnmp,phpstudy这些一键安装包的同学应该都知道,在一键安装完成后会有一个默认的首页。而且通常大家都不会急着去删除该页面。因为当时我也没去改动过。

很熟悉的界面,看似没什么实则泄露了大量的服务器信息。探针和phpinfo足以将服务器运行状况,物理路径等信息完全暴露在了公网上。

而最致命的就是一键安装完成后,没有改phpmyadmin的默认用户密码。一开始我也并没有太在意,但我是改过的。直到大一下期末考试的那段时间,我在图书馆闲的无聊,因为刚挖到我们学校某子域名下的一个sql注入,想继续渗透一下我们学校网站所在的整个C段下的其他子站。

为了方便,我没有用nmap,直接用的 IIS PUT Scaner ,因为这个扫描的速度很快。刚扫完自己学校的C段,发现没什么意思(后来发现我们学校是把很多站点放在了同一台机子上,只是开放了很多个端口)。所以我就想了想,扫了一下我自己阿里云ip所在的C段。

这一扫,仿佛让我打开了新世界的大门,也便有了后面的故事。

好奇心促使我挨着着点开看了一下。是真的有意思,各类网站都有,像博客,电商网站,后台管理系统,赌博网站(大部分是香港的ip)。不过偶然间看到了几个lnmp,phpstudy的默认首页。这时我就萌生了想法,会不会他们也没有改phpmyadmin的默认密码。

结果这么一试,没想到还真的进去了。

因为当时我还大一,也没有师傅带我,懂得东西还不是太多。看到进入了别人的数据库后台管理系统,可把我激动坏了。接下来的时间就一直在想怎么才能渗透提权,拿到他服务器的shell。

可能大一的那个暑假的大部分时间都在思考如何才能从phpmyadmin渗透提权。这也是为什么我的博客之前有很多都是关于phpmyadmin的缘故了吧。记得是暑假的某一天,我无意间看到了漏洞银行某一期的视频,就是关于phpmyadmin提权的。我受到了很大的启发,发现那确实是一个不错的提权思路。

也是我这篇文章写到的提权方法:

通过phpmyadmin写入一句话木马getshell

具体的方法我就不赘述了。看到菜刀弹回这个界面时,别提有多激动了。说实话,第一次真正意义上getshell的那种感觉,我至今都还记忆犹新,因为真的是别人的服务器,而不是在靶场里练习。我相信每个人第一次应该都会很激动吧。但当时还没想到后面会由此变成批量抓鸡。

我记得那一个周的时间,每天都要去阿里云上找一些没改过的密码的phpmyadmin后台来反复练习这个提权方法。我大一的时候还真的是执著,纯手动去挨个筛选ip,不过发现云上的数量还是真的不少。哈哈,现在想来当时自己还是蛮可爱的。

渐渐地我发现我菜刀里面的shell都快数不过来了。都是又觉得自己这样效率好低呀。于是萌生了新的想法,我要自己写脚本抓取后台url!

这就是当时写的第一个脚本,也是最原始的那个。虽然现在看起来觉得好low。脚本就扔到自己的阿里云服务器里跑,不仅延迟低,还不会被ban掉ip。


import requests
import IPy
 
ipsegment = input('请输入ip网段:')
documentname = input('请输入保存的文件名:')
ip = IPy.IP(ipsegment)
ip_list = []
for i in ip:
    url= 'http://'+str(i) +'/phpmyadmin/index.php'
    print(url)
    try:
        scan_ip = requests.head(url,timeout=0.15,allow_redirects=False)
        if scan_ip.status_code == 200:
            ip_list.append(url)
            print('这个ip是可以的')
    except Exception:
        pass
with open(documentname+".txt",'w') as f:
    f.write("\n".join(ip_list))

后来这个脚本不断优化,就有了之后的一篇博客。

编写python脚本批量扫公网云服务器拿phpmyadmin后台

当然虽然效率提高了,但是作为一只渗透狗,怎么会止步于此呢,因为觉得还不甘心。

每次我都会想起这张图,哈哈哈。

最有标志性的一次,也算是这个故事的一个转折点吧。是我拿到了一个电商平台的webshell。同样是上面的方法,但是我想拿他的远程桌面。

当时应该快临近暑假结束了,那天我吃过午饭大概7点过的样子,我就在想我不能总拿webshell呀,这样也没啥意思,我一定要把他的远程桌面给拿下来。我印象特别深刻,从7点过开始,到了晚上12点过,我没有一刻离开过凳子。不断地思考,查阅资料。终于皇天不负有心人,成功了!!!!

看到连接成功的那一刻,我似乎都能感觉到肾上腺素的分泌,虽然有些夸张,但当时的心情也只能这么形容了。

具体提权方法在这篇文章中,其实很多人没看出来。

妙用secedit命令:命令行下可绕过windows密码策略

到这里这个故事的上半部分就算结束了吧。中间和下半部分的故事,我就写到另外篇文章中去了。

 

zgao

如果有什么技术上的问题,可以加我的qq 1761321396 一起交流。

2条评论

匿名 发布于5:47 下午 - 9月 1, 2020

我在云上批量抓鸡的故事(下)–写EXP干就完事了! – zgao's blog 发布于7:36 下午 - 11月 3, 2019

[…] 我在云上批量抓鸡的故事(上)–从webshell到远程桌面 […]