i春秋-真的很简单

基于织梦CMS的网站进行渗透测试，找到网站登录后台，进而入侵服务器找flag文件。

爆密码

漏洞利用工具爆织梦后台的帐号和密码##
md5解密部分：
md5长度(hex)=32，但爆出来的adab29e084ff095ce3eb长度只有20。
织梦的是选取hash的前20位，然后去掉前三位和最后一位，得到16位的hash。16位和32位的hash才能解密，这是它本身算法的特性决定的。

了解下md5碰撞
需要工具进行md5的解密——了解hashcat怎么用
为什么？该怎么解密？

找后台

• 目录扫描
• 报错显示
  目录扫不到，转换思路，看有没有后台地址信息泄露的漏洞。从/data/mysql_error_trace.inc 或 /data/mysqli_error_trace.inc可以看到爆出的路径。
  
  image.png

还有别的办法吗？

一句话木马与菜刀连接

在后台上传webshell
在模板/标签模板管理/xxx.php下，这些php模板文件都可插入一句话木马。include/taglib/adminname.lib.php去这里找。

image.png

然后使用菜刀连接即可。
但是，连接后获得的目录和权限太有限了。在别的地方上传试试。
去系统/系统基本参数/附件设置中，修改上传文件的类型。
然后去核心/上传文件，上传木马，之后点击更改该就能查看木马路径。
织梦后台哪几个点可以上传
去哪里找flag？flag可能会在哪？

提权

进入管理员桌面看到flag文件，但是权限不足。
拒绝访问，可能是权限不足，因此提升权限；

windows用户与文件权限有哪些
windows用户与组
可用cacls查看修改权限
权限：

R 读取
W 写入
C 更改（写入）
F 完全控制
cacls用法可通过cmd直接查看，具体如下：
显示或者修改文件的访问控制列表(ACL)

 CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
        [/R user [...]] [/P user:perm [...]] [/D user [...]]
    filename      显示 ACL。
    /T            更改当前目录及其所有子目录中
                  指定文件的 ACL。
    /L            对照目标处理符号链接本身
    /M            更改装载到目录的卷的 ACL
    /S            显示 DACL 的 SDDL 字符串。
    /S:SDDL       使用在 SDDL 字符串中指定的 ACL 替换 ACL。
                  (/E、/G、/R、/P 或 /D 无效)。
    /E            编辑 ACL 而不替换。
    /C            在出现拒绝访问错误时继续。
    /G user:perm  赋予指定用户访问权限。
                  Perm 可以是: R  读取
                               W  写入
                               C  更改(写入)
                               F  完全控制
    /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
    /P user:perm  替换指定用户的访问权限。
                  Perm 可以是: N  无
                               R  读取
                               W  写入
                               C  更改(写入)
                               F  完全控制
    /D user       拒绝指定用户的访问。
 在命令中可以使用通配符指定多个文件。
 也可以在命令中指定多个用户。

缩写:
    CI - 容器继承。
         ACE 会由目录继承。
    OI - 对象继承。
         ACE 会由文件继承。
    IO - 只继承。
         ACE 不适用于当前文件/目录。
    ID - 已继承。
         ACE 从父目录的 ACL 继承。

windows组：

net localgroup结果：
*__vmware__
*Administrators
*Device Owners
*Distributed COM Users
*Event Log Readers
*Guests
*HelpLibraryUpdaters
*IIS_IUSRS
*Performance Log Users
*Performance Monitor Users
*Remote Management Users
*SQLServer2005SQLBrowserUser$XXX
*System Managed Accounts Group
*Users

下面介绍下网上介绍的常见的用户组
　1.Users
　　普通用户组，这个组的用户无法进行有意或无意的改动，权限一般较低。
2.Power Users
　　高级用户组，仅次于administrator，但是我的win10上并没有这个组。
　　3.Administrators
　　管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说，应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。
　　4.Guests
　　来宾组，来宾组跟普通组Users的成员有同等访问权，但来宾账户的限制更多。次于Users组。
　　5.Everyone
　　所有的用户，这个计算机上的所有用户都属于这个组。
　　6.SYSTEM组
　　高于Administrators权限，在察看用户组的时候它不会被显示出来，也不允许任何用户的加入。这个组主要是保证了系统服务的正常运行，赋予系统及系统服务的权限。

但是本次实验中并没有提权，而是单纯的修改了用户对某个特定文件的权限，而非提升了用户本身的权限。

关键在于，要了解织梦的一些小漏洞
知道织梦后台哪里可以上传木马
会找flag文件，提权