00x01 信息收集
拿到url后,二话不说进行信息收集,使用御剑扫一波路径再说,看看这个站有啥。
然后再扫一波端口,狠一点,直接1-10000扫。但是端口只有80和3306。没开3389难受
经过路径扫描后,对扫出来的东东一一进行访问,测了一些漏洞,有目录遍历,xss、什么的。但是我的想法是既然是搞,搞到底看能不能拿下主机。
00x02 漏洞利用
得知后台登录页面,想了一下,用下万能密码看看能不能登录进去。
没想到万能密码直接就进去了,看来这个站有点lj啊。既然这样,那就扒拉下后台,看看有没有能够getshell的,顺便当练手咯。
00x03 上传webshell
在管理后台的信息添加处,存在上传点,出于习惯,直接使用图片马进行上传getshell。选择好图片马,使用bp进行捉包修改文件后缀进行上传,这里比较基础,就不细说了。
修改jpg为php进行简单的绕过。其实顺序我觉得是应该先传正常php和jsp看是否会拦截,以及正常返回路径,但是这里我可能是个人习惯,就直接上图片马了,大佬们勿吐槽哈!!
奇怪的事情发生了,返回包是200。但是包中没有返回访问路径,有一只绝对路径,这应该是也算是一个绝对路径泄露吧。但是暂时没用啊,找不到自己的马子,等于白上了。
正当我还在纠结怎么找到访问时,我凑了一眼上传界面。路径就躺在框里。
访问一下上传的图片马,可以访问到,下一步就是上菜刀了。
00x04 获取权限
成功上传了webshell,下一步按正常走,使用菜刀进行文件管理,看看里面有啥。
这是一个window。可以使用mimikazt捉密码,但是3389前面用nmap扫了也没开,需要cmd开启一下远程,不过我想饶下路子,都到这里了。要不试下创建个账号,给他留点东西以表我来过。。
说干就干,想起之前看过某文章,直接在菜刀执行cmd命令。试一下
阿西吧,发现cmd执行whoami都执行不了,没事,我还有招,给它传个cmd
上传一个自己的cmd,然后用菜刀执行这个cmd的虚拟终端,就可以正常使用命令了。
好了,现在可以正常执行命令了,按计划进行,创建用户一条龙服务。
过分了,可以执行whoami,但是无法创建用户。估计哪里姿势不对,百度一波。
找到了一个win7提权复现的文章,使用CVE-2018-8120来进行提权,应该是需要这个东西才能成功创建用户。
下载链接:https://github.com/unamer/CVE-2018-8120
下载后将对应的exe文件传上去,然后继续我的计划。
上传后再次查看权限,已是system,然后继续创建用户。
Net user xxx xxx /add 第一个x是用户,第二个x是密码
用户创建成功。查看下用户权限。
权限是普通用户,然后将这个用户丢到管理员组。就顺利完成我的提权大计了。
完美!!!剩下一个难关啦,开启3389,然后,哈哈哈哈~~事不宜迟,马上动手。
这里我使用了这条命令进行开启————百度找的。
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
然后使用netstat -ano | findstr 3389查看是否开启。
已成功开启3389。接着就是远程远程上去啦。
至此,成功拿下服务器管理员权限!!!
00x05 感想
写在后面的一点感想:
这个php网站属于没任何防护的,渗透过程没有太大的难题,问题基本百度百度都能解决,写这个文章是为了记录下一个渗透的过程,还有其他方法进行获取权限,条条大路通罗马!