记一次拿医院shell
0x01 前言
一天同事找我,说找找怎么上传webshell。一家医院,在菜鸟src子域名ip下的。
0x02 端口扫描
发现除了 3389 8080端口有特点。其余无
8080看看
phpinfo / phpmyadmin 两个突破点
windows系统
phpmyadmin 比较老能直接进。无密码登录等
0x03 phpMyadmin
phpmyadmin 写日志的方式 提webshell
太老了。连直接改都不行,
直接执行SQL修改日志把。
根据网站的报错绝对路径信息,修改
((想必这里有人问我为什么不直接写webshell,这里环境有点特殊。webshell识别不到。换种思路突破
2020/7/13 补充
这里webshell不能直接写,是因为医院的数据库查询INFO特别多,会导致webshell识别不到,如果是写入system($_GET[cmd]) 人工传参是可以传参的到的,我换了antsword 菜刀其他版本 都统一回显空。error等,这里网站也下架了我也无法截图给你们看,要不我就随手画一个?((小声BB
传入传参进去,echo 1 发现有回显,说明写system($_GET[])成功
可以执行。直接上CS
命令执行直接打过去
上来就是SYSTEM权限。提权都免了
0x04 提取密码
阿这
抓不了明文。只能抓hash了
0x05 cs 具体流程
cs4
建立listener
名字随意填
Payload 一般选 http 和https 两种
http hosts 是你要反弹回来的主机地址
http host (stager)可以不用动
http port (C2) 自己想要绑定的端口,最好先检查 端口是否有占用
建立好了监听会跳出 listen start
接下来生成payload
Attack > Spawns backdoor(第一个) > powershell Generator
选好你刚刚建立的监听器。payload 根据你自己想怎么打就怎么设的设置,
x64 看目标主机是不是64位 若是勾选,不是不勾选
。
生成到xxx路径
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| pr0ud | 0.01 | 0 | 2021-01-07 15:03:14 | 一个受益终生的帖子~~ |
| cl0725 | 1.00 | 0 | 2020-08-08 14:02:59 | 一个受益终生的帖子~~ |
| yangqiding | 5.00 | 0 | 2020-07-30 16:04:10 | 一个受益终生的帖子~~ |
| Yaoヽ药药 | 0.01 | 0 | 2020-07-24 16:04:45 | �¿½�¸�‚¬�¿½�¸�¿½�¿½��€”�¿½�€�� �¿½�»�†�¿½�€�¸�¿½�¡�€ž�¿½�¸�€“�¿½��~~ |
| Yaoヽ药药 | 0.01 | 0 | 2020-07-24 16:04:12 | 一个受益终生的帖子~~ |
| Yaoヽ药药 | 0.01 | 0 | 2020-07-24 16:04:06 | 一个受益终生的帖子~~ |
| Yaoヽ药药 | 0.01 | 0 | 2020-07-24 16:04:40 | �¸€�¸��—�›Š�»ˆ�”Ÿ�š„�¸–�~~ |
| Yaoヽ药药 | 1.00 | 0 | 2020-07-24 16:04:36 | �¸€�¸��—�›Š�»ˆ�”Ÿ�š„�¸–�~~ |
| Yaoヽ药药 | 1.00 | 0 | 2020-07-24 16:04:05 | �¸€�¸��—�›Š�»ˆ�”Ÿ�š„�¸–�~~ |
| Yaoヽ药药 | 1.00 | 0 | 2020-07-24 16:04:51 | 一个受益终生的帖子~~ |
| Yaoヽ药药 | 1.00 | 0 | 2020-07-24 16:04:27 | 一个受益终生的帖子~~ |
| Yaoヽ药药 | 1.00 | 0 | 2020-07-24 16:04:10 | 一个受益终生的帖子~~ |
| Track-聂风 | 40.00 | 0 | 2020-07-24 14:02:37 | 期待同学的下次文章 |
打赏我,让我更有动力~
返回:技术文章投稿区
实战纪实
Track-聂风
发表于 2020-7-24
同学下次可以将CS部分写的更为详细
可以尝试下一篇投稿文章是CS的内容
评论列表
加载数据中...
caih
发表于 2020-9-3
?你这怎么把生成的txt载荷上传到目标机并执行的呢?
评论列表
加载数据中...