权限丢失之时，getshell之日

前言：
当初手头有个站，jsp的，root权限运行，轻而易举拿到了root，然后做了bugscan的节点..就这么过了几个月吧。
某一天发现bugscan节点掉了，只依稀记得IP地址，但是忘了怎么撸下来的。为了避免自己当节点的麻烦，决定再撸一次。
以下图片打码尽量严谨，若有露点之处，还请指出。

0x01

终于理解为什么都用0x01 而不是用1 一 这种序号了，果然是0x01看起来舒服些。

首先，通过IP反查一下域名，发现域名做的类似泛解析，即多个二级域名解析在了同一个IP上。


拿到域名之后，挨个访问下，发现皆为此类登陆口：



思考了以下，此类网站，内容应该大部分都在登录之后才可见。由于网站提供服务的对象为特殊群体，猜想应该会有很多弱口令。于是通过google搜索下，果然有了结果：


期间试过多个关键词，终于在“默认密码” 时发现好玩的东西了。
根据如上提示，猜想肯定存在弱口令的情况。通过Burpsuite，将示例的学号递加，密码字段设置为000000进行爆破。肯定会有成功的！
然后，我就被墙了。后来一想，应该burp速度太快，估计被防火墙当做CC攻击给屏蔽IP了..

不管了，挂个代理继续搞。
本来想写个脚本的，虽然也花不了多久，但总是要费劲儿。还是手动试试好了。
终于，我进去了...（由于写文章时代理已经断开，我就不截图了）。在登录后发现一个任意文件上传，成功getshell。

上菜刀：



看看权限：


OK，添加账号：然后SSH连接之。

上去之后发现以前添加的bugscan的进程被kill掉了。于是乎，su 切换到root（此时切换至root用户不需要root密码）。
在/usr/bin下面新建一个文件，命名的话，反正看起来就像系统文件。

在里面添加上bugscan节点需要执行的那条命令，并加上执行权限后，nohup bash 新建的文件 & >> /dev/null
估摸着这次管理员上来不好发现了吧
后续擦屁股的东西就不再写了，通过简单查看网站可以判断出管理员并不上心，所以...我懒得擦了。

总结了一下，感觉很多时候渗透的思路，要从网站本身功能入手可能会有收获。

自评 TCV 1