phpmyadmin 后台getshell：

查询当前日志是否开启：show variables like "%general%";
开启日志： set global general_log = on;
移动日志的位置：set global general_log_file = 'c:/www/xxxxx';

1. 环境搭建

打开之后，发现ip为172的，密码又不知道，所以需要密码。

在这里试过好多种方法，包括取证分析等，但是都失败了（技术不精湛）

也试过永恒之蓝漏洞的方法，不过同样失败。。。

后来采用置空的方法进去了。

2. 置空密码

通过kon-bootCD.iso直接将密码置空了，登录进去之后，将ip修改为自动，启动phpstudy，开打：

此时的ip信息：192.168.135.31

3. 打靶流程（要求小米加步枪）

3.1 信息搜集

可以ping通，说明暂时没有开防火墙：

在这里继续使用nmap扫下看看：

在这里看到，开放了80端口，445端口，而且开放了3306端口。

在这里因为使用的小米加步枪，最好不使用现有工具的方法，所以访问80端口。

3.2 web端口

访问站点，直接要求密码，采用bp进行爆破测试：

看到这里是base64的方法，在这里采用密码进行爆破：

按照如下的方法进行设置：

得到了密码：

登录之后跳转，得到第一个key

3.3 织梦cms

dede到织梦的后台，发现弱口令adminadmin、 admin   123456进不去：

在这里尝试进行路径探测，找到一个php的字典，使用bp进行扫描：

找到字典之后，开始扫描：

刚找小字典没有搞到路径，这次换一个大的字典试试：

没扫到，换一个dir的字典试试：

换了字典之后，我还是没扫到，但是是真实存在的，麻了：

弱口令root``root进去了，找到dede的管理密码，在这里无法查询，其实就是888888，先拿出来先，修改为admin的hash，后面再放回去：

原来的hash：cca77804d2ba1922c33e

无法破解，因为不联网，所以使用md5搞一个自己的：

admin的值为：21232f297a57a5a743894a0e4a801fc3

dede的密码规则是去前5后7（tm的，这谁能知道啊）

所以admin的密码就是：f297a57a5a743894a0e4

再去登录试试看：

其实登录成功之后，应该存在一个key的，但是在这里没找到：

人家的图：

在这里没发现：

3.4 phpmyadmin getshell

查看日志是否开启，以及日志存放的位置：

SHOW VARIABLES LIKE '%general%'

打开日志功能：

set global general_log=on

再看下日志功能有无开启：

目前已经开启，但是要挪一个位置，因为在这里已经知道是phpstudy搭建的了，所以在这里挪一下日志的位置：

C:\phpStudy\MySQL\data\WIN-LIXUBS5R4CF.log

尝试挪到：

C:/phpstudy/www/shell.php

试一下，看下是否存在：

set global general_log_file='C:/phpstudy/www/shell.php';

访问一下看看：

文件是存在的，那就随便执行一个一句话木马试试吧：

再次执行之后，因为前面有错误，所以还是无法访问到的，重新定义日志的位置：

重复上面的步骤，无论如何做，都是语法错误：

应该是自己不应该使用大小写不区分的木马，应该统一使用小写的木马，再试一次：

终于，在不区分大小写之后，终于进去了：

使用中国菜刀连接试试：

在这里显示未授权，应该是第一道门，可以用bp搞一个流量包看下：但是配置失败：

抓包看下：

好像是不行。。。

很烦

3.5 获取关键信息

在这里看到权限是administrator

理论上就可以添加账号啥的，试试看：

两个用户，在这里直接修改管理员的密码：

登录试试看：

应该是没有开启3389：

还是要手动开启3389：

此时登录看下：

应该是修改密码之后需要重启才可以生效，那就再新增一个用户吧：

net user admin admin /add
net localgroup administrators admin /add
net user 
net localgroup administrators

此时登录成功：

去Administrator的用户目录下找flag，其实在这里用命令行就可以找到flag：

在这里就可以看到桌面的文件了，其实在桌面上应该有一个flag的，但是文件被人改了：

如果想读取这个文件的话，在这里做一个假的flag：

x=system('type "c:\users\administrator\Desktop\flag.txt"');

在这里一定要注意\/方向的问题：

4. 总结

个人感觉这个靶机难度比较高，可能很多师傅觉得看上去蛮简单的，但是如果只给你一个Windows7的操作机，在没有任何提示的情况下进行手工渗透测试，想要拿到这个满分，是非常困难的，因为要记的东西太多了，而且很多知识点很散。

我当时也是参考了人家的打法来打的，通过这个靶机，感觉学到了很多知识！