记一次getshell最后3389远程登录

1、打开站点，发现是一个很老的CMS，百度一下通杀的漏洞
2、直接通过扫描器扫描一下其他开放的端口

可以看到开放了开了很多端口，8888是phpmyadmin，试了一下没弱口令，暂时不去碰它。然后1234和 56653端口分别是两个web站点。一个是织梦cms一个是帝国cms，都属于老版本的，网上也有很多通用漏洞。我选择了主站点进入。
3、通过目录扫描发现/admin，试试弱口令。爆破出来是admin,admin888.进入后台之后寻找上传点来拿shell。

4、发现一个文件上传的点，看了一下源码，发现是前端过滤，那么上传步骤就不一一展示了
5、上传shell之后通过工具连接一下。执行一下黑客三连发现返回的都是无用的数

据(主要还是当前用户权限太低)，没办法进行更多操作，但是通过文件管理能够看到其他站点相应的文件路径。

然后在逐个尝试，发现dedecms和帝国cms下面是有开启web服务的。
分别上传了相同的一句话木马进行连接，进行黑客三连发现dedecms返回的用户是www2，跟之前我们使用goby扫描到的是一样的。

可以发现用户不一样，说明权限可能也不一样，且该机器通外网

并且该机器开通了3389，可以远程。
6、创建用户并且加入管理员用户组

添加成功，尝试一下远程，这里我用的是之前创建的linyu用户
7、接着来尝试一下获取www2用户的密码，通过procdump+mimikatz来获取。
通过冰蝎or蚁剑，将procdump工具上传到服务器，procdump64.exe -accepteula -ma lsass.exe lsass.dmp
导出一个lsass.dmp,然后通过冰蝎将文件下载到本地。接着在本地使用mimikatz将文件解密（在同一目录下）
8、用管理员权限打开mimikatz，执行privilege::debug 将软件权限提升一下。
然后sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswordsfull

可以发现密码已经出现了，然后通过该账号密码登录3389，为所欲为~

原文发布在:https://www.yuque.com/docs/share/2aa944d3-833a-413d-bf42-b40c6dd3e342?# 《记一次getshell最后3389远程登录》