拿到站点IP,无法访问,没有打开80端口
扫一下端口,发现125端口是打开的
瞅一眼,是个弹框登录,试试弱口令,不太行,抓包爆破试试
发到intruder模块,这里提一下,发现这里有认证头,Basic后的一串字符应该是用户名:密码的base64加密,所以我们把Basic后边的圈起来进行爆破,我猜测有admin这个用户
这里选择custom iterator类型
在position1里添入admin,当然如果猜测还有可能是其他用户名也可以添加
在position2里添入 :
在position3里上密码本
attack,爆破出用户名为admin,密码为qwert
登进去跳转到新的页面,爆破无果,扫扫这个新地址的目录,扫到robot.
进去拿到一个key,还给了个目录
进去看看,看了一会儿没什么页面除了可以留言没有什么有用信息
点右边的系统管理出现管理员登录框,尝试弱口令,用户名admin和密码admin,登进去
发现有一个系统路径,留着,应该会有用,然后再扫扫news目录下有什么东西,扫到phpmyadmin目录,进去发现是mysql数据库,我们进去插个一句话木马试试,这里路径我们写刚刚知道的系统路径
插入成功以后访问一下看看,应该是成功插入了,连蚁剑试试
连上了,去news目录下,打开终端
whoami 一下,发现是system权限,那就不用提权了,
netstat -ano 一下看看开了那些端口,发现3389远程连接端口是打开的,这次连3389.vbs都不用我们自己上传了
我们需要把本机IP添加到此IP的防火墙白名单
net user 一下看看
接着我自己创建了个用户,远程连接以后发现机子上啥都没有,于是我改了administrator的密码
然后远程连接,发现桌面的回收站的名字就是flag,结束
最后我们再回顾一下windows下如何创建新的用户并添加到管理员组的命令吧
创建新用户: net user 用户名 密码 /add
将该用户添加到管理员组: net localgroup administrators 用户名 /add