拿到目的网站,看来是一个很向例的bc站。
先举办简捷的讯息搜罗,经过Wappalyzer插件看来php版本与windowsserve这两个较量要害的讯息
下令行nslookup+url观察ip,发觉没有CDN
再到爱站上看看
嗯,柬埔寨可还行
了解ip地点后端口扫描一波(全端口扫描+效劳探测。这个进程较量悠久,能够先干其余)
在扫描之余试验连合长途桌面(由于开端曾经看到是windowsserve的效劳器)
试了两次,推测是批改端口了,或许是登录ip白名单?
二、后盾爆破回到web,反手在url背面加一个admin
后盾出来了,这bc有点水啊,顺手测了几个弱口令,无果
发觉没有考证码校验,抓包爆破一波
常常找一些向例的弱口令举办爆破就够了
秒出暗码:,我吐了,他们运维或许要被打死
三、找寻上传点这么简捷就拿下了后盾,咱们固然不会餍足。
大概扫瞄了一下后盾的各个成效,找寻能够哄骗的场合,在系统办理处找到一处上传点
(有没有表哥发收款码过来,暴富的机缘来了!)
随意写一个一句话,并将后缀改为.jpg而且抓包发送到Repeater观察
提醒“不是真实的图片典型”,在包内改为php后缀,提醒不法文献典型
发觉是白名单+文献头校验,试验图片马
试验了几波,白名单束缚得很死,没绕从前
霎时堕入了僵局,依旧此外找寻冲破口吧
四、峰回路转用心想了一下,它是Windows,而Windows的合流建站东西,浮屠,扞卫神,phpstudy,upupw。以前看到它的php版本是5.2.17,碰巧料到前段时候爆发的phpstudy的2个后门,后门存在于php-5.4.45和php-5.2.17两个版本中。立即测试一波
乞求包中Accept-Encoding:gzip,deflate,将gzip,deflate中央的空格删掉
并鄙人面加之一句:Accept-Charset:+所施行下令的base64编码
我惊呆了,果然是用phpstudy建站的,这站长心也太大了吧,接下来的事项就好办多了。
五、蚁剑无文献shell连合之编码器记得改为base64
尔后将一句话举办base64编码,复制到Accept-Charset:背面
批改蚁剑内的乞求讯息,处Header头批改如图下
测试连合,胜利连合上
发觉直接是SYSTEM权力,这就好玩了
六、上传mimikatz抓取Hash新建目录,上传winrar.exe+mimikatz
应用上传的winrar解压,下令:winrar.exeex64.rar
运转mimi.bat,这边说一下下图背面最佳加之一个exit,否则的话mimikatz会一直的写日记,致使log文献越来越大,那时就犯了如许一个差错
将生成的mimikatz.log复制到网站根目录下,尔后去观察
胜利抓到办理员的RDP的暗码。
回顾看看以前扫的全端口也扫好了
看来统共开了三个端口,个别变动了端口用nmap扫描加-sV参数后,扫出的rdp效劳,个别service会显示为ssl/unknown.
试验长途桌面连合
嘻嘻,胜利登录,拿下效劳器,立即点了根烟,将一齐凭证打包好,取出了手机拨打
七、归纳在咱们拿下webshell的时候,想要获得数据或许源码不断会用菜刀或许蚁剑去打包,不过这个时候不断就会呈现良多题目,列如打包失利,或许是打包得不完备等等。
这个时候倘使对方是windows效劳器的话,咱们能够将咱们内陆装的winrar.exe上传从前
收缩盘下的dat文献夹,而且定名为bat.rarwinrar.exea-ag-k-r-s-ibckc:/bak.rarc:/dat/
收缩多个文献winrara-ag-ibckbak.rarfilename1filename2filename....
参数申明:a:备份一齐文献;-ag:当创造收缩文献时,以格式“YYYYMMDDHHMMSS”附加目下日期字符串,文献名bakYYYYMMDDHHMMSS.rar;-k:锁定收缩文献;-r:备份目录和子目录;-s:创造固实收缩文献;-ibck:后盾运转;
filename1:要收缩的文献名,能够多个,也可用通配符file*
点赞,转发,在看
首创投稿做家:楚天
做家博客: