我在云上批量抓鸡的故事(上)–从webshell到远程桌面

这是我亲身经历的一些事情，本来很早之前就想写出来，却因为各种原因一直没有写下来。之前很多朋友问过我抓鸡的事情，我相信也是我很多朋友最想知道的。趁着新年第一天在家闲着，将这些有趣的故事娓娓道来。不过看到标题先不要误会，我并不搞黑产，只是在此过程中也看到了不少黑产的踪影。这篇文章只讲故事，不谈技术。

讲到这个故事，要从大一下的时候说起。因为当时经常参加各种互联网+一类的比赛，需要用到服务器，所以在老师的资金帮助下，我就弄到了很多阿里云的vps。反正这些机子我都可以随便搞，所以就装了lnmp，phpstudy这一类的一键安装包，自己做些网站练手。

但凡用过lnmp，phpstudy这些一键安装包的同学应该都知道，在一键安装完成后会有一个默认的首页。而且通常大家都不会急着去删除该页面。因为当时我也没去改动过。

很熟悉的界面，看似没什么实则泄露了大量的服务器信息。探针和phpinfo足以将服务器运行状况，物理路径等信息完全暴露在了公网上。

而最致命的就是一键安装完成后，没有改phpmyadmin的默认用户密码。一开始我也并没有太在意，但我是改过的。直到大一下期末考试的那段时间，我在图书馆闲的无聊，因为刚挖到我们学校某子域名下的一个sql注入，想继续渗透一下我们学校网站所在的整个C段下的其他子站。

为了方便，我没有用nmap，直接用的 IIS PUT Scaner ，因为这个扫描的速度很快。刚扫完自己学校的C段，发现没什么意思（后来发现我们学校是把很多站点放在了同一台机子上，只是开放了很多个端口）。所以我就想了想，扫了一下我自己阿里云ip所在的C段。

这一扫，仿佛让我打开了新世界的大门，也便有了后面的故事。

好奇心促使我挨着着点开看了一下。是真的有意思，各类网站都有，像博客，电商网站，后台管理系统，赌博网站（大部分是香港的ip）。不过偶然间看到了几个lnmp，phpstudy的默认首页。这时我就萌生了想法，会不会他们也没有改phpmyadmin的默认密码。

结果这么一试，没想到还真的进去了。

因为当时我还大一，也没有师傅带我，懂得东西还不是太多。看到进入了别人的数据库后台管理系统，可把我激动坏了。接下来的时间就一直在想怎么才能渗透提权，拿到他服务器的shell。

可能大一的那个暑假的大部分时间都在思考如何才能从phpmyadmin渗透提权。这也是为什么我的博客之前有很多都是关于phpmyadmin的缘故了吧。记得是暑假的某一天，我无意间看到了漏洞银行某一期的视频，就是关于phpmyadmin提权的。我受到了很大的启发，发现那确实是一个不错的提权思路。

也是我这篇文章写到的提权方法：

通过phpmyadmin写入一句话木马getshell

具体的方法我就不赘述了。看到菜刀弹回这个界面时，别提有多激动了。说实话，第一次真正意义上getshell的那种感觉，我至今都还记忆犹新，因为真的是别人的服务器，而不是在靶场里练习。我相信每个人第一次应该都会很激动吧。但当时还没想到后面会由此变成批量抓鸡。

我记得那一个周的时间，每天都要去阿里云上找一些没改过的密码的phpmyadmin后台来反复练习这个提权方法。我大一的时候还真的是执著，纯手动去挨个筛选ip，不过发现云上的数量还是真的不少。哈哈，现在想来当时自己还是蛮可爱的。

渐渐地我发现我菜刀里面的shell都快数不过来了。都是又觉得自己这样效率好低呀。于是萌生了新的想法，我要自己写脚本抓取后台url！

这就是当时写的第一个脚本，也是最原始的那个。虽然现在看起来觉得好low。脚本就扔到自己的阿里云服务器里跑，不仅延迟低，还不会被ban掉ip。

import requests
import IPy
 
ipsegment = input('请输入ip网段：')
documentname = input('请输入保存的文件名：')
ip = IPy.IP(ipsegment)
ip_list = []
for i in ip:
    url= 'http://'+str(i) +'/phpmyadmin/index.php'
    print(url)
    try:
        scan_ip = requests.head(url,timeout=0.15,allow_redirects=False)
        if scan_ip.status_code == 200:
            ip_list.append(url)
            print('这个ip是可以的')
    except Exception:
        pass
with open(documentname+".txt",'w') as f:
    f.write("\n".join(ip_list))

后来这个脚本不断优化，就有了之后的一篇博客。

编写python脚本批量扫公网云服务器拿phpmyadmin后台

当然虽然效率提高了，但是作为一只渗透狗，怎么会止步于此呢，因为觉得还不甘心。

每次我都会想起这张图，哈哈哈。

最有标志性的一次，也算是这个故事的一个转折点吧。是我拿到了一个电商平台的webshell。同样是上面的方法，但是我想拿他的远程桌面。

当时应该快临近暑假结束了，那天我吃过午饭大概7点过的样子，我就在想我不能总拿webshell呀，这样也没啥意思，我一定要把他的远程桌面给拿下来。我印象特别深刻，从7点过开始，到了晚上12点过，我没有一刻离开过凳子。不断地思考，查阅资料。终于皇天不负有心人，成功了！！！！

看到连接成功的那一刻，我似乎都能感觉到肾上腺素的分泌，虽然有些夸张，但当时的心情也只能这么形容了。

具体提权方法在这篇文章中，其实很多人没看出来。

妙用secedit命令：命令行下可绕过windows密码策略

到这里这个故事的上半部分就算结束了吧。中间和下半部分的故事，我就写到另外篇文章中去了。