BugKu -- PRA -- 应急加固【简单】

写在前面

这次的题目确实是比较简单的，很多东西也是我们比较常见的，因为今年确实想要好好写一下文章，所以本次就不完全公开了，只需要大家点点关注，万分感谢！！

拿到题目

首先通过账号密码远程登录win机器，发现有phpstudy，并且安装了phpmyadmin。

直接访问phpmyadmin。

用户名和密码是数据库，可以再phpstudy中直接查看。

提权方式

首先，我们能通过面板确定该网站使用的mysql5.5.29版本。

然后通过翻找文件，发现这里有一个udf，所以很有可能是进行了udf提权，因为mysql>5.1的版本是没有这个lib/plugin文件夹的。

我们回到phpmyadmin上查看二进制日志，发现了这个创建函数的语句，该语句用于udf提权。

黑客的webshell

首先，使用D盾，河马等工具一顿乱扫，发现啥都没有，然后通过phpstudy面板确定是Apache搭建的网站，我们找到他的access.log文件。

使用腾讯的日志分析工具，具体链接在我的上一篇文章中，这里就不赘述了。

分析完成后，我们去查看这里面提到的php文件，发现了webshell，删除即可完成题目。

黑客的账号

这道题目就比较简单了，我们通过控制面板选择用户账户，发现存在三个用户。

那么很明显这个harry有点问题，选择删除，然后check题目即可通过。

后门木马

这里我用了一个取巧的方法，我直接在服务器上安装了一个火绒，本来准备直接手动查杀的，结果安装完成后，木马直接就被杀了，然后我们给恢复到原文件夹并添加信任，原文件夹在这里。

我们再安装一个火绒剑，然后运行该木马，查看任务组信息，几个获取黑客的ip地址。

加固服务器

这个百度上一搜索就有了，“win+R"快捷键开启运行,输入"gpedit.msc”,回车打开；进入组策略编辑器,依次点击"计算机配置——Windows设置——安全设置——密码策略"。将最小值改为8即可。

删除木马

由于前面我们已经用火绒知道是哪个文件了，现在就是把在火绒中添加的信任取消，然后再次删除即可（因为直接手动运行过一次，也可以直接结束进程并删除文件）。

修复漏洞

这里我们可以直接去查询udf提权，网上有很多文章里面是有修复建议的，首先我们先来在了解一下udf提权的利用条件

通过第一条，我们就可以得出，需要将secure_file_priv设置为null，文件在Phpstudy_pro/Extansions/mysql5.5.29/my.ini，默认是隐藏后缀的，取消掉隐藏后缀就能找到，或者直接在my这个配置文件下添加即可，添加完成后重启一下mysql服务，直接check即可完成题目。

来源地址：https://blog.csdn.net/jiuyongpinyin/article/details/128761468