乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
更新时间:2023年03月23日22:22:30
百度网盘地址:https://pan.baidu.com/s/14FBEjtLiRaSQ_5DLMwEH_w?pwd=dsip 提取码: dsip
密码我也不知道,需要置空密码,可以使用工具进行置空,我取证失败。在这里需要记住的命令:
phpmyadmin 后台getshell:
查询当前日志是否开启:show variables like "%general%";
开启日志: set global general_log = on;
移动日志的位置:set global general_log_file = 'c:/www/xxxxx';
1. 环境搭建
打开之后,发现ip为172的,密码又不知道,所以需要密码。
在这里试过好多种方法,包括取证分析等,但是都失败了(技术不精湛)
也试过永恒之蓝漏洞的方法,不过同样失败。。。
后来采用置空的方法进去了。
2. 置空密码
通过kon-bootCD.iso直接将密码置空了,登录进去之后,将ip修改为自动,启动phpstudy,开打:
此时的ip信息:192.168.135.31
3. 打靶流程(要求小米加步枪)
3.1 信息搜集
可以ping通,说明暂时没有开防火墙:
在这里继续使用nmap扫下看看:
在这里看到,开放了80端口,445端口,而且开放了3306端口。
在这里因为使用的小米加步枪,最好不使用现有工具的方法,所以访问80端口。
3.2 web端口
访问站点,直接要求密码,采用bp进行爆破测试:
看到这里是base64的方法,在这里采用密码进行爆破:
按照如下的方法进行设置:
得到了密码:
登录之后跳转,得到第一个key
3.3 织梦cms
dede到织梦的后台,发现弱口令admin admin、 admin 123456进不去:
在这里尝试进行路径探测,找到一个php的字典,使用bp进行扫描:
找到字典之后,开始扫描:
刚找小字典没有搞到路径,这次换一个大的字典试试:
没扫到,换一个dir的字典试试:
换了字典之后,我还是没扫到,但是是真实存在的,麻了:
弱口令root``root进去了,找到dede的管理密码,在这里无法查询,其实就是888888,先拿出来先,修改为admin的hash,后面再放回去:
原来的hash:cca77804d2ba1922c33e
无法破解,因为不联网,所以使用md5搞一个自己的:
admin的值为:21232f297a57a5a743894a0e4a801fc3
dede的密码规则是去前5后7(tm的,这谁能知道啊)
所以admin的密码就是:f297a57a5a743894a0e4
再去登录试试看:
其实登录成功之后,应该存在一个key的,但是在这里没找到:
人家的图:
在这里没发现:
3.4 phpmyadmin getshell
查看日志是否开启,以及日志存放的位置:
SHOW VARIABLES LIKE '%general%'
打开日志功能:
set global general_log=on
再看下日志功能有无开启:
目前已经开启,但是要挪一个位置,因为在这里已经知道是phpstudy搭建的了,所以在这里挪一下日志的位置:
C:phpStudyMySQLdataWIN-LIXUBS5R4CF.log
尝试挪到:
C:/phpstudy/www/shell.php
试一下,看下是否存在:
set global general_log_file='C:/phpstudy/www/shell.php';
访问一下看看:
文件是存在的,那就随便执行一个一句话木马试试吧:
再次执行之后,因为前面有错误,所以还是无法访问到的,重新定义日志的位置:
重复上面的步骤,无论如何做,都是语法错误:
应该是自己不应该使用大小写不区分的木马,应该统一使用小写的木马,再试一次:
终于,在不区分大小写之后,终于进去了:
使用中国菜刀连接试试:
在这里显示未授权,应该是第一道门,可以用bp搞一个流量包看下:但是配置失败:
抓包看下:
好像是不行。。。
很烦
3.5 获取关键信息
在这里看到权限是administrator
理论上就可以添加账号啥的,试试看:
两个用户,在这里直接修改管理员的密码:
登录试试看:
应该是没有开启3389:
还是要手动开启3389:
此时登录看下:
应该是修改密码之后需要重启才可以生效,那就再新增一个用户吧:
net user admin admin /add
net localgroup administrators admin /add
net user
net localgroup administrators
此时登录成功:
去Administrator的用户目录下找flag,其实在这里用命令行就可以找到flag:
在这里就可以看到桌面的文件了,其实在桌面上应该有一个flag的,但是文件被人改了:
如果想读取这个文件的话,在这里做一个假的flag:
x=system('type "c:usersadministratorDesktopflag.txt"');
在这里一定要注意/方向的问题:
4. 总结
个人感觉这个靶机难度比较高,可能很多师傅觉得看上去蛮简单的,但是如果只给你一个Windows7的操作机,在没有任何提示的情况下进行手工渗透测试,想要拿到这个满分,是非常困难的,因为要记的东西太多了,而且很多知识点很散。
我当时也是参考了人家的打法来打的,通过这个靶机,感觉学到了很多知识!
tips:加我wx,拉你入群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
原文始发于微信公众号(乌鸦安全):CISP-PTE综合靶机-WinServer2008学习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论