宝塔配置文件读取及提权

环境:如果所访问网站是在宝塔面板上搭建的

​ 已经上传了PHP大马

​ 可以跨目录

背景:权限足够,获取更高权限(例如命令执行权限)

注意:在获取权限后,注意将密码替换回去(后续会提到)

步骤:

1.如果该网站为宝塔面板搭建,那么其访问路径端口号多半是8888,例如我所搭建的网站www.cdclhh.com在其加上8888端口后,会如下图所示

可以看到提示我们访问正常路径。

这时就需要用到我们已经上传的大马,在正常情况下,在宝塔的文件中会存在一个文件(BtSoft/panel/data/admin_path.pl)记录其宝塔正确登录地址

在大马上找到该文件位置打开,可以看见路径尾数

接着将其复制跟在域名后面,接着就来到了正确的登录界面

接着我们继续在该路径下,找寻记登录账号和密码的文件夹,一般来说为BtSoft/panel/data/default.db

即default.db这个文件,此数据库类型为sqllite

我们将这个.db文件下载下来,用sqllitestudio打开

找到users,点击可以看见账户密码

一般来说password加密为md5加密

将其密码去解下密,并未成功

这时我们可以自定义一个密码,然后md5加密

4

将其加密后的密码写入default中,保存,然后将其通过大马上传到原目录文件下,此时我们就可以用123456这个密码登录成功了

注意,我们此时已经修改了密码,所以当我们登录后需要将原密码改回,别留下足迹

MYSQL 密码获取

mysql密码获取,本次主要是为了mysql的一个提权应用,当然并不仅限于此

背景:宝塔下搭建的dedecms

​ 已经上传大马和mysql.php提权小工具的情况下

​ 允许目录可跨

步骤

首先mysql的账户密码获取途径这是关键的一步,从网站源码中获取、从mysql数据文件中读取

其中mysql数据文件路径一般在C:/IE/BtSoft/mysql/MySQL5.6/data/mysql

下的user.myi和user.myd里面

基于此,我们去访问之前已经上传的大马

去找到该目录,并打开检查是否存在密码

在user.MYD中发现了密码

可尝试通过md5尝试解密一下,此处就不做演示了(主要是安全意识太高,我这个密码解不出来)