i春秋-真的很简单

2019-05-20  本文已影响0人  theLexical

基于织梦CMS的网站进行渗透测试,找到网站登录后台,进而入侵服务器找flag文件。

爆密码

漏洞利用工具爆织梦后台的帐号和密码##
md5解密部分:
md5长度(hex)=32,但爆出来的adab29e084ff095ce3eb长度只有20。
织梦的是选取hash的前20位,然后去掉前三位和最后一位,得到16位的hash。16位和32位的hash才能解密,这是它本身算法的特性决定的。

了解下md5碰撞
需要工具进行md5的解密——了解hashcat怎么用
为什么?该怎么解密?

找后台

还有别的办法吗?

一句话木马与菜刀连接

在后台上传webshell
模板/标签模板管理/xxx.php下,这些php模板文件都可插入一句话木马。include/taglib/adminname.lib.php去这里找。

image.png
然后使用菜刀连接即可。
但是,连接后获得的目录和权限太有限了。在别的地方上传试试。
系统/系统基本参数/附件设置中,修改上传文件的类型。
然后去核心/上传文件,上传木马,之后点击更改该就能查看木马路径。
织梦后台哪几个点可以上传
去哪里找flag?flag可能会在哪?

提权

进入管理员桌面看到flag文件,但是权限不足。
拒绝访问,可能是权限不足,因此提升权限;

windows用户与文件权限有哪些
windows用户与组
可用cacls查看修改权限
权限:

R 读取
W 写入
C 更改(写入)
F 完全控制
cacls用法可通过cmd直接查看,具体如下:
显示或者修改文件的访问控制列表(ACL)

 CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
        [/R user [...]] [/P user:perm [...]] [/D user [...]]
    filename      显示 ACL。
    /T            更改当前目录及其所有子目录中
                  指定文件的 ACL。
    /L            对照目标处理符号链接本身
    /M            更改装载到目录的卷的 ACL
    /S            显示 DACL 的 SDDL 字符串。
    /S:SDDL       使用在 SDDL 字符串中指定的 ACL 替换 ACL。
                  (/E、/G、/R、/P 或 /D 无效)。
    /E            编辑 ACL 而不替换。
    /C            在出现拒绝访问错误时继续。
    /G user:perm  赋予指定用户访问权限。
                  Perm 可以是: R  读取
                               W  写入
                               C  更改(写入)
                               F  完全控制
    /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
    /P user:perm  替换指定用户的访问权限。
                  Perm 可以是: N  无
                               R  读取
                               W  写入
                               C  更改(写入)
                               F  完全控制
    /D user       拒绝指定用户的访问。
 在命令中可以使用通配符指定多个文件。
 也可以在命令中指定多个用户。

缩写:
    CI - 容器继承。
         ACE 会由目录继承。
    OI - 对象继承。
         ACE 会由文件继承。
    IO - 只继承。
         ACE 不适用于当前文件/目录。
    ID - 已继承。
         ACE 从父目录的 ACL 继承。

windows组:

net localgroup结果:
*__vmware__
*Administrators
*Device Owners
*Distributed COM Users
*Event Log Readers
*Guests
*HelpLibraryUpdaters
*IIS_IUSRS
*Performance Log Users
*Performance Monitor Users
*Remote Management Users
*SQLServer2005SQLBrowserUser$XXX
*System Managed Accounts Group
*Users

下面介绍下网上介绍的常见的用户组
 1.Users
  普通用户组,这个组的用户无法进行有意或无意的改动,权限一般较低。
2.Power Users
  高级用户组,仅次于administrator,但是我的win10上并没有这个组。
  3.Administrators
  管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。一般来说,应该把系统管理员或者与其有着同样权限的用户设置为该组的成员。
  4.Guests
  来宾组,来宾组跟普通组Users的成员有同等访问权,但来宾账户的限制更多。次于Users组。
  5.Everyone
  所有的用户,这个计算机上的所有用户都属于这个组。
  6.SYSTEM组
  高于Administrators权限,在察看用户组的时候它不会被显示出来,也不允许任何用户的加入。这个组主要是保证了系统服务的正常运行,赋予系统及系统服务的权限。

但是本次实验中并没有提权,而是单纯的修改了用户对某个特定文件的权限,而非提升了用户本身的权限。

关键在于,要了解织梦的一些小漏洞
知道织梦后台哪里可以上传木马
会找flag文件,提权

上一篇下一篇

猜你喜欢

热点阅读