本項(xiàng)目整理一些寶塔特性����,可以在無漏洞的情況下利用這些特性來增加提權(quán)的機(jī)會(huì)�����。Table of Contents- 寫數(shù)據(jù)庫(kù)提權(quán)
寫數(shù)據(jù)庫(kù)提權(quán)寶塔面板在2008安裝的時(shí)候默認(rèn)www用戶是可以對(duì)寶塔面板的數(shù)據(jù)庫(kù)有完全控制權(quán)限的:powershell -Command 'get-acl C:\BtSoft\panel\data\default.db | format-list'
對(duì)于這種情況可以直接往數(shù)據(jù)庫(kù)寫一個(gè)面板的賬號(hào)直接獲取到面板權(quán)限,而在2016安裝默認(rèn)是User權(quán)限可讀不可寫這種情況可以從里面讀取一些敏感信息��,比如mysql的root密碼,而一般這個(gè)配置的不會(huì)只有這個(gè)文件可讀���,可以使用其他方法����。密碼: md5(md5(md5(password) + '_bt.cn') + salt)可以直接使用bt_panel_script.py��,腳本會(huì)自動(dòng)新建一個(gè)賬號(hào)�����。API提權(quán)寶塔面板支持API操作的��,token在C:\BtSoft\panel\config\api.json�,用這個(gè)方法提權(quán)還可以無視入口校驗(yàn),比如有一個(gè)未授權(quán)訪問的redis是system權(quán)限�,就可以直接往這個(gè)文件覆蓋token直接接管面板,或是利用FileZilla(windows面板默認(rèn)ftp軟件就是FileZilla + 空密碼)新建一個(gè)C盤權(quán)限的賬號(hào)����,也可以去修改那個(gè)文件來提權(quán)。{'open': true, 'token': 'API Token', 'limit_addr': ['你的IP']}
請(qǐng)求時(shí)加上(multipart/form-data):可以直接使用bt_panel_api.py��,腳本會(huì)自動(dòng)使用計(jì)劃任務(wù)運(yùn)行命令����,如果面板原本就有配置好API了,并且IP限制127.0.0.1�,那么就可以直接在服務(wù)器直接用腳本提權(quán)。計(jì)劃任務(wù)提權(quán)基本上場(chǎng)景同API提權(quán)���,可以去修改計(jì)劃任務(wù)文件(比如網(wǎng)站備份),默認(rèn)是在凌晨1:30執(zhí)行�,權(quán)限也是system。有些面板API會(huì)無法登陸���,就只能利用計(jì)劃任務(wù)來提權(quán)了����,缺點(diǎn)是路徑不固定�����,且執(zhí)行時(shí)間也不固定。自動(dòng)化測(cè)試python3 .\bt_panel_script.py
使用此腳本可以全自動(dòng)獲取寶塔相關(guān)信息�,python可以直接用寶塔的,不用擔(dān)心沒環(huán)境�����。python3 .\bt_panel_api.py -g
這個(gè)腳本可以生成api示例����,把生成的json替換到指定文件后就能提權(quán)。python3 .\bt_panel_api.py -u 'http://192.168.101.5:8888/' -t '085bd64a698cf601ae472425656b2346' -c whoami
python3 .\bt_panel_log_delete.py
這個(gè)腳本可以自動(dòng)清理面板日志��。https://github.com/Hzllaga/BT_Panel_Privilege_Escalatio
|
