系統 :kali 2.0
工具:sqlmap
注入點:http://bi×××××.org.cn/news_detail.php?id=547
權限:DBA
目標:window 2k3 開放 3389 端口
通過路徑的各種爆錯無效,無法獲得絕對路徑,目標網站上面沒測試指針,存在phpmyadmin但是也無法爆路徑。
讀數據庫破MD5登錄后台發現無利用的地方。
使用sqlmap 的--file-read 對c:\boot.ini文件進行讀取
設想lamp環境的安裝是默認的,那么可以通過讀php的配置文件獲得絕對路徑。但是在讀取
c:\windows\php.ini
c:\windows\system32\inetsrv\MetaBase.xml
這些文件根本就不存在。
那么換一個思路,讀取information_schema數據庫中的SESSION_VARIABLES表,在里面可以發現一些很有用的信息::
很好,從這個路徑中可以知道是使用wamp server進行環境搭建的,這也就說明我上面讀取不到信息的主要原因。
那么接下來就可以讀取一下wamp的wampmanager.conf文件 ,從上面的路徑可以知道安裝wamp 的時候 是默認路徑安裝的,
結果
ok,接下來再讀取httpd.conf文件獲得物理路徑
ok,成功得到物理路徑,接下來就可以辦正事了。
直接使用--os-shell看看是
很好,得到了一個shell,看看系統都打了哪些補丁,在shell中執行systeminfo無回顯,使用--os-cmd方式試試看
成功回顯數據
但是從返回的信息中的系統型號中發現目標是一個VMware的虛擬機,我日。
查看一下權限有多大。
很好,system權限,人品大爆發了,
接下來查看 一下用戶信息
已是system權限那么說修改一下guest用用戶的權限登錄進去接着突突。
1 net user guest /active:yes
2 net user guest hack
3 net localgroup administrators guest /add
很好,查看一下guest用戶現在的狀態
OK , guest 已在管理員組了,這時可以使用3389上去了,但是使用3389很容易給發現,可以不連接的時候就不要隨便登錄上去。這個帳號就留着備用吧
接下來,好戲開始,使用sqlmap 的shell上傳wget.exe到c:\windowns\system32\目錄下,這樣就可以解決下載問題了,方便至極。操作與linux一樣。棒極了。對,要的就是這種感覺。使用 wget 下載pwwdump.exe到system32目錄下改名為pwd.exe獲取hash值
破解
得到密碼為admin接下來那就好辦了,開啟telnet登錄上去
查看一下這台服務器里面的信息與有什么有用的信息
可以看到,這台服務器早就給破處了,或許是菊花一地都是了。。。。
Ok,使用net view查看一下當前的網絡情況。
嗯,有5台服務器,通過ping 主機名得到對應的ip,使用nmap掃描都開放3389端口,OK試試上面破解得到的username 與password 3389上去,
發現還真的青一色的虛擬機,3台2003 、2台2008R2,在這兩台2008R2中應該有一台是真實的物理主機,但是無法使用破解得到 的密碼進行登錄所以暫時無法獲得結果
在使用ipconfig -all查看服務器的IP設置情況時發現了一個很有意思的東西,那就是路由
使用公網IP的路由器,這個有意思,一般的情況下路由器的登錄帳號密碼都是沒更改的,試着登錄上去看看是什么情況,
哈哈,好家伙,H3C企業級路由器,使用默認的admin admin登錄試試人品
OK,上去了。查看一下內網的配置情況,但是一無所獲,就像服務器的IP設置一樣,並沒有發現有內網
果斷加一個system帳號
先閃人,以后有時間再配置vpn連接進去下一步的滲透。