鑽石舞台

0x02 過程

老實說，這些信息用處不大，試了下文檔里標的sql，太菜了沒繞的過去，然後針對找到的真實ip進行旁站收集，最終在相鄰段里摸到一個點

特徵很明顯，這套是微盤的程序，只能說是非常激動了，因為不出意外進去就能搞到shell，這裡也是簡單根據之前的信息摸到後台，一發默認賬號admin打過去寄了

沒事，上祖傳字典。設置好默認密碼開始跑用戶名

lucky~這裡不知道跑到哪個祖傳賬號進去了，不關心，直接放包刷新頁面進去轉轉

這裡面的二維碼功能點可以bypass拿shell的，有些版本不存在，看人品

這裡就簡簡單單拿了個shell。但執行命令的時候發現有點小寄

看來是禁了點東西，用蟻劍自帶的插件bypass一下看看。有了，但又沒完全有（說實話偶爾會遇到這種問題，我沒仔細研究過歸於玄學問題，路過的師傅指點一下）

但沒關係，這裡可以直接彈個shell回來繼續搞。

history和進程里沒東西，那麼還是隱藏一下命令痕跡先。

再收集一下基本信息。好嘛，ifconfig又用不了，換一個

很致命，權限太低了，arp、traceroute這些統統用不了

那就換/sbin/route -nee淺看一眼路由表

好像沒啥東西，不過也正常，這種機器多半是沒在內網的。還有像traceroute這種本來想直接給他yum的，奈何權限不夠，還是先提個權再說。

這裡是直接傳了工具自動檢索CVE（linux-exploit-suggester2），跑出的髒牛這些挨着試了一下，都不行，寄，片名為寄。（說實話這個工具我很少成功）

但不慌，前段時間的4034版本符合。搞一下，啪的一下，很快啊，沒有寄，這個洞還是很能打的

在之前的收集過程中發現有寶塔，尋思還是直接登錄到寶塔面板管理舒服點。這裡過去看了眼後台路徑、端口和允許的域名（厚碼一下，師傅們淺噴）

再淺讀一手密碼（bt的默認密碼在配置文件panel/data/default.pl中，路徑可能會變，根據實際情況來）

沒淺出來，我不信，find . -name "*.pl"找一下，年輕人，花里胡哨。

拿着密碼去梭一發，啪的一下，很快啊，年輕人你不講武德，小丑竟是我自己

沒事，那就繼續操作，把這個db文件copy到我shell能訪問的地方下載

很好，這波確實有點不順，抽根棒棒糖冷靜一下。現在我們想想the shy會怎麼做？

那麼我這邊就直接新起一個目錄，然後把這個目錄zip打包拖回來，欸，簡單粗暴，效率高

很好，綠了它綠了（拿棒棒糖的手微微顫抖。）

把db文件拖出來看看，其實裡面能看的東西挺多的

隨便看看。這裡直接定位到user表，根據他的salt我們在表里新增一行，大概這個樣子

接下來將此db文件覆蓋掉原有db，用自己賬號登錄成功接管寶塔面板。

0x03 結束