我在云上批量抓鸡的故事(上)–从webshell到远程桌面
这是我亲身经历的一些事情,本来很早之前就想写出来,却因为各种原因一直没有写下来。之前很多朋友问过我抓鸡的事情,我相信也是我很多朋友最想知道的。趁着新年第一天在家闲着,将这些有趣的故事娓娓道来。不过看到标题先不要误会,我并不搞黑产,只是在此过程中也看到了不少黑产的踪影。这篇文章只讲故事,不谈技术。
讲到这个故事,要从大一下的时候说起。因为当时经常参加各种互联网+一类的比赛,需要用到服务器,所以在老师的资金帮助下,我就弄到了很多阿里云的vps。反正这些机子我都可以随便搞,所以就装了lnmp,phpstudy这一类的一键安装包,自己做些网站练手。
但凡用过lnmp,phpstudy这些一键安装包的同学应该都知道,在一键安装完成后会有一个默认的首页。而且通常大家都不会急着去删除该页面。因为当时我也没去改动过。
很熟悉的界面,看似没什么实则泄露了大量的服务器信息。探针和phpinfo足以将服务器运行状况,物理路径等信息完全暴露在了公网上。
而最致命的就是一键安装完成后,没有改phpmyadmin的默认用户密码。一开始我也并没有太在意,但我是改过的。直到大一下期末考试的那段时间,我在图书馆闲的无聊,因为刚挖到我们学校某子域名下的一个sql注入,想继续渗透一下我们学校网站所在的整个C段下的其他子站。
为了方便,我没有用nmap,直接用的 IIS PUT Scaner ,因为这个扫描的速度很快。刚扫完自己学校的C段,发现没什么意思(后来发现我们学校是把很多站点放在了同一台机子上,只是开放了很多个端口)。所以我就想了想,扫了一下我自己阿里云ip所在的C段。
这一扫,仿佛让我打开了新世界的大门,也便有了后面的故事。
好奇心促使我挨着着点开看了一下。是真的有意思,各类网站都有,像博客,电商网站,后台管理系统,赌博网站(大部分是香港的ip)。不过偶然间看到了几个lnmp,phpstudy的默认首页。这时我就萌生了想法,会不会他们也没有改phpmyadmin的默认密码。
结果这么一试,没想到还真的进去了。
因为当时我还大一,也没有师傅带我,懂得东西还不是太多。看到进入了别人的数据库后台管理系统,可把我激动坏了。接下来的时间就一直在想怎么才能渗透提权,拿到他服务器的shell。
可能大一的那个暑假的大部分时间都在思考如何才能从phpmyadmin渗透提权。这也是为什么我的博客之前有很多都是关于phpmyadmin的缘故了吧。记得是暑假的某一天,我无意间看到了漏洞银行某一期的视频,就是关于phpmyadmin提权的。我受到了很大的启发,发现那确实是一个不错的提权思路。
也是我这篇文章写到的提权方法:
通过phpmyadmin写入一句话木马getshell
具体的方法我就不赘述了。看到菜刀弹回这个界面时,别提有多激动了。说实话,第一次真正意义上getshell的那种感觉,我至今都还记忆犹新,因为真的是别人的服务器,而不是在靶场里练习。我相信每个人第一次应该都会很激动吧。但当时还没想到后面会由此变成批量抓鸡。
我记得那一个周的时间,每天都要去阿里云上找一些没改过的密码的phpmyadmin后台来反复练习这个提权方法。我大一的时候还真的是执著,纯手动去挨个筛选ip,不过发现云上的数量还是真的不少。哈哈,现在想来当时自己还是蛮可爱的。
渐渐地我发现我菜刀里面的shell都快数不过来了。都是又觉得自己这样效率好低呀。于是萌生了新的想法,我要自己写脚本抓取后台url!
这就是当时写的第一个脚本,也是最原始的那个。虽然现在看起来觉得好low。脚本就扔到自己的阿里云服务器里跑,不仅延迟低,还不会被ban掉ip。
import requests import IPy ipsegment = input('请输入ip网段:') documentname = input('请输入保存的文件名:') ip = IPy.IP(ipsegment) ip_list = [] for i in ip: url= 'http://'+str(i) +'/phpmyadmin/index.php' print(url) try: scan_ip = requests.head(url,timeout=0.15,allow_redirects=False) if scan_ip.status_code == 200: ip_list.append(url) print('这个ip是可以的') except Exception: pass with open(documentname+".txt",'w') as f: f.write("\n".join(ip_list))
后来这个脚本不断优化,就有了之后的一篇博客。
编写python脚本批量扫公网云服务器拿phpmyadmin后台
当然虽然效率提高了,但是作为一只渗透狗,怎么会止步于此呢,因为觉得还不甘心。
每次我都会想起这张图,哈哈哈。
最有标志性的一次,也算是这个故事的一个转折点吧。是我拿到了一个电商平台的webshell。同样是上面的方法,但是我想拿他的远程桌面。
当时应该快临近暑假结束了,那天我吃过午饭大概7点过的样子,我就在想我不能总拿webshell呀,这样也没啥意思,我一定要把他的远程桌面给拿下来。我印象特别深刻,从7点过开始,到了晚上12点过,我没有一刻离开过凳子。不断地思考,查阅资料。终于皇天不负有心人,成功了!!!!
看到连接成功的那一刻,我似乎都能感觉到肾上腺素的分泌,虽然有些夸张,但当时的心情也只能这么形容了。
具体提权方法在这篇文章中,其实很多人没看出来。
妙用secedit命令:命令行下可绕过windows密码策略
到这里这个故事的上半部分就算结束了吧。中间和下半部分的故事,我就写到另外篇文章中去了。
赞赏
微信赞赏
支付宝赞赏
3条评论