getshell之后难忘的经历

1

前言

背景是这样的，大佬moza在两台服务器搭了一道题，说是组合getshell 

问过Moza大佬，说投稿前要打码。

2

整理思路

直接测试第二个，加了waf的那台服务器 打开链接，发现有部分源码泄露

根据源码提示，无报错，那是基于时间的延迟注入，那可以注出账号密码，一般和登陆后台结合

那先找后台，直接御剑扫目录，只发现/phpmyadmin/目录

并且还把我ip给ban了，幸亏我是校园网，无数次断开外网重连。

到这里，基本确定就是延时注入拿到phpmyadmin的账号密码，然后进行phpmyadmin的后台getshell

3

测试开始

后台查询语句：$sql="select* from userinfo where id =$uid";

这里id不需要绕过，直接上测试语句

1 andif(0=1,1,sleep(6))

居然直接返回，正确应该是等待6秒的。我怀疑是过滤了空格和and，用+，/**/，%230E等代替空格，大小写，双写，中间插空字符，一样不行。

去问moza大佬，说你再想想。好吧

百度一波，没找到啥有用的，哪位大佬知道的望指教

4

爆破

嗯，回到起点，这时我点开phpmyadmin后台页面，突然有个小想法

没有验证码的，那我可以直接爆破出账号密码，据我了解moza大佬有点懒，应该会是弱口令。

我拿出我收藏的字典，利用burpsuite的爆破模块进行爆破

字典有点大，我是以clusterbomb方式，又没设置多线程，所以会很慢。先让它跑先

到了下午，还没跑出来，1万多条只跑了6000多。关掉吧

应该是字典问题，把字典一些常见的弱口令复制出来，再结合一些关键词rootmoza

进行组合字典。然后抓包继续爆破

每爆破一百多条，ip就被ban掉，苦逼的重新整理字典重新爆破，最后终于有点结果。尝试这几组特殊结果，root  xxxx成功

登陆成功

5

phpmyadmin 后台getshell

接下来就是phpmyadmin后台getshell,一个老套路加新姿势

先找绝对路径，报错，google，访问phpmyadmin特定文件，找phpinfo无法爆出路径。

在变量可知道mysql的绝对路径，那网站根目录会是www或WWW

后来想到在generaload file利用日志文件可以验证，路径正确，成功修改日志文件的路径，错误会报错ps:这里的generalload file 后面的新姿势会用到

老套路：直接从表导出数据：（我一开始执行写入不了，后来改先执行前两句，再进入创建的表执行下一句）

CREATETABLE `mysql`.`study` (`mozhe` TEXT NOT NULL );

INSERTINTO `mysql`.`study` (`mozhe` )VALUES ('');

SELECT7on FROM study INTO OUTFILE 'C:/web/WWW/mozhe.php';

尝试老套路，直接失败，意料之中，因为之前moza说开了waf和禁用了一些函数的

showglobal variables like '%secure%';

果然securefile priv值为null,不能进行导出导入数据

新姿势，针对intooutfile 被禁用,无法导出导入文件

当然也可以先设置general_log变量为on和general_log_file为我们已知的路径，最后执行最后的语句

SETglobal general_log='on';

SETglobalgeneral_log_file='D:/webshell/WWW/shell.php';#如果没有shell.php会自动创建

SELECT'';

利用新姿势，成功在mysql的日志文件中写入一句话并成功解析php文件，webshell路径为日志文件shell.php

在我开开心心连菜刀时，我懵了。。。

直接被拦截了，看来是waf和防火墙，菜刀被狗吃了，连一次ban一次ip

6

漫漫getshell路

之后想到

第一、免杀过狗菜刀、xise配合免杀一句话试试：

上传免杀一句话

.

下载免杀过狗菜刀、xise一大丢附带软件，坑爹，去ichunqiu52pojie pansousou 基本资源都过期了。

找到一个，尝试与免杀一句话，连接，还是狗厉害点

第二，利用一句话原理，本地上次一个大马，或者直接列目录读文件

百度、百度

https://wenku.baidu.com/view/97278d2a7375a417866f8f1d.html

一句话基本原理都有讲，没找到想要的，留到以后学学

尝试就上传大马

利用phpmyadmin新姿势

上传普通大马，写进日志文件shell.php

无法正常解析，怀疑是与之前写入的一句话有影响，重新新建个shell1.php日志文件，失败

可能是大马过大，写入的数据有大小限制

下载个精小php大马

http://webshell8.com/

内存大小2k，上传还是失败。

静下来想想，我本地可以搭一个环境，本地试验下写入的日志文件嘛

说干就干,phpstudy走起

进入我的phpmyadmin管理页面

本地我写入刚下载的大马，完整的上传进去了，不过连接失败

反复测试，删除一些多余东西。后来有所发现

原因是多了后面的一些日志信息导致无法正常解析大马

那就注释掉

利用/*注释

构造

SELECT'