系统 :kali 2.0
工具:sqlmap
注入点:http://bi×××××.org.cn/news_detail.php?id=547
权限:DBA
目标:window 2k3 开放 3389 端口
通过路径的各种爆错无效,无法获得绝对路径,目标网站上面没测试指针,存在phpmyadmin但是也无法爆路径。
读数据库破MD5登录后台发现无利用的地方。
使用sqlmap 的--file-read 对c:\boot.ini文件进行读取
设想lamp环境的安装是默认的,那么可以通过读php的配置文件获得绝对路径。但是在读取
c:\windows\php.ini
c:\windows\system32\inetsrv\MetaBase.xml
这些文件根本就不存在。
那么换一个思路,读取information_schema数据库中的SESSION_VARIABLES表,在里面可以发现一些很有用的信息::
很好,从这个路径中可以知道是使用wamp server进行环境搭建的,这也就说明我上面读取不到信息的主要原因。
那么接下来就可以读取一下wamp的wampmanager.conf文件 ,从上面的路径可以知道安装wamp 的时候 是默认路径安装的,
结果
ok,接下来再读取httpd.conf文件获得物理路径
ok,成功得到物理路径,接下来就可以办正事了。
直接使用--os-shell看看是
很好,得到了一个shell,看看系统都打了哪些补丁,在shell中执行systeminfo无回显,使用--os-cmd方式试试看
成功回显数据
但是从返回的信息中的系统型号中发现目标是一个VMware的虚拟机,我日。
查看一下权限有多大。
很好,system权限,人品大爆发了,
接下来查看 一下用户信息
已是system权限那么说修改一下guest用用户的权限登录进去接着突突。
1 net user guest /active:yes
2 net user guest hack
3 net localgroup administrators guest /add
很好,查看一下guest用户现在的状态
OK , guest 已在管理员组了,这时可以使用3389上去了,但是使用3389很容易给发现,可以不连接的时候就不要随便登录上去。这个帐号就留着备用吧
接下来,好戏开始,使用sqlmap 的shell上传wget.exe到c:\windowns\system32\目录下,这样就可以解决下载问题了,方便至极。操作与linux一样。棒极了。对,要的就是这种感觉。使用 wget 下载pwwdump.exe到system32目录下改名为pwd.exe获取hash值
破解
得到密码为admin接下来那就好办了,开启telnet登录上去
查看一下这台服务器里面的信息与有什么有用的信息
可以看到,这台服务器早就给破处了,或许是菊花一地都是了。。。。
Ok,使用net view查看一下当前的网络情况。
嗯,有5台服务器,通过ping 主机名得到对应的ip,使用nmap扫描都开放3389端口,OK试试上面破解得到的username 与password 3389上去,
发现还真的青一色的虚拟机,3台2003 、2台2008R2,在这两台2008R2中应该有一台是真实的物理主机,但是无法使用破解得到 的密码进行登录所以暂时无法获得结果
在使用ipconfig -all查看服务器的IP设置情况时发现了一个很有意思的东西,那就是路由
使用公网IP的路由器,这个有意思,一般的情况下路由器的登录帐号密码都是没更改的,试着登录上去看看是什么情况,
哈哈,好家伙,H3C企业级路由器,使用默认的admin admin登录试试人品
OK,上去了。查看一下内网的配置情况,但是一无所获,就像服务器的IP设置一样,并没有发现有内网
果断加一个system帐号
先闪人,以后有时间再配置vpn连接进去下一步的渗透。