实验设备:一台windows服务器,一台kali,一台windows客户端
在虚拟机WIN7上使用phpstudy搭站(解压文件将文件放置在phpstudy配置文件WWW中),使用物理机进行攻击,WIN7 IP为192.168.10.5
物理机安装jdk,建立java环境,由此来运行菜刀
网页链接是WWW后的路径(http://ip/dedecms/uploads) 根据文件存放位置来定在物理机登录这个网站(刚开始就点下一步下一步,中间要设置root密码,里面也会显示admin密码)
我们注册一个用户000001,密码为123123,一个test用户,密码为123123
在admin后台将自己设置为会员,现实中就相当于自己充值会员,拥有会员权限
将用户设置为000001是因为管理员的用户是1所以通过抓包将自己的用户名变为1
登录自己的账号
打开burpsuite抓包
点击个人空间
取cookie中的last_vid__ckMd5 值 替换dedeuserid_ckMd5值 和Dedeuserid改为00001
然后on放过,别点forword
出来后发现已经是admin登录了
发生了越权
F12修改这三处
进入网站主页观看
运行重置密码链接,抓包
192.168.10.5/dedecms/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=1
ctrl+R
进入repeater然后确认下面三个数据和之前要求的一样然后直接点go
出现右边的数据
把图中的url修改,amp;去掉
如下,抓到的这是一个临时修改密码的url
http://192.168.10.5/dedecms/member/resetpassword.php?dopost=getpasswd&id=1& key=ro0tKeP6
进入网页可以修改密码
修改成功
这个密码只能在这个网页临时登录,不能推出从外面登录,因为这只是个临时密码
进入dede直接进入后台
新建广告
添加广告
在内容中输入一句话木马
提交后出现一个路径
打开中国菜刀,将上面的路径填在url后
连接成功
提权
将pinjector拖入
用进程注入提权
pinjector -l
查看所有进程的权限
找到system权限的进程
pinjector -p 进程的UID cmd 4567
kali端监听
写一个脚本
内容为:关防火墙
开3389端口
创建用户
加入管理员组
用中国菜刀把脚本拖入目标
在kali中打开脚本
主机进行远程连接
连接成功