ichunqiu在線挑戰--我很簡單，請不要欺負我 writeup

• 挑戰連接: http://www.ichunqiu.com/tiaozhan/114
• 知識點: 後臺目錄掃描，SQL Injection，一句話木馬， 提權，登錄密碼破解

---

這個挑戰是爲像我這種歷來都沒有完整的作過一次滲透的菜鳥準備的，因此線索基本都擺在明面上，只要清楚流程，一步一步來，最終都能完成的。話是這麼說，本身作的過程當中仍是有不少地方卡住了……加了個油。

首先根據要求使用的工具和要回答的問題來看，流程應該是這個樣子的，「御劍」掃後臺→「Pangolin」SQL注入獲取管理員密碼，登錄後臺→上傳一句話木馬→「中國菜刀」鏈接獲取webshell→「Pr」提權，添加服務器用戶→「3389.exe」開啓3389端口→遠程桌面鏈接服務器，獲取Administrators用戶的登陸密碼。

用「御劍」對網站後臺目錄進行掃描，可得網站後臺地址：http://www.test.ichunqiu/admin/index.asp ，打開後能夠看到標題是「魅力企業網站管理系統」，嗯……看起來像是個CMS，趕忙谷歌一會兒，發現後臺默認用戶名及密碼爲admin,admin888，輸進去試一試，我*直接進去了……不過本着「負責任」（負哪門子責任……）的態度，看看有沒有SQL注入吧，好傢伙，產品頁，新聞頁，凡是帶「ID=」的都有……手工試了一下order by語句，試出了有26列，而後用union select語句，結果就出來了，以下圖，username爲admin，password的結果應該是通過md5加密了，解密獲得admin888。
固然，咱們也能夠用指定的工具「Pangolin」進行SQL注入，操做很簡單，很快就爆出了用戶名和密碼，以下圖

成功登陸到後臺後，就應該找寫一句話木馬的地方了。發現有備份數據庫的功能，嘗試備份，提示備份成功後去恢復備份功能下看，結果根本沒有備份文件……難道這備份功能就是個擺設？？？好吧，那就找找有沒有可以上傳文件的地方，經過「御劍」掃出的地址中有包含「Upload」字符的，應該可以上傳文件，在瀏覽器中打開後卻發現，只能選擇文件然而沒有上傳的按鈕……好吧，再看看，有個「系統設置」功能，並且剛剛谷歌後也能夠下載到該CMS的全部安裝文件，能夠找到「系統設置」的文件路徑爲Web目錄下的inc/config.asp，嘗試修改「系統設置」來插入一句話木馬，然而屢次把網站搞得打不開了……幸好是模擬環境，重啓一下就行了……應該是語句沒有閉合好的問題，仔細觀察config.asp文件，從新設置一下語句，最後成功插入，網站也能正常訪問。插入的語句爲"eval request("1")'，以下圖

接下來用「中國菜刀」鏈接，以下圖

菜刀鏈接成功後，找到有寫權限的目錄，好比C:\RECYCLER\，上傳文件「cmd.exe」，「pr.exe」，「3389.exe」，以下圖所示。在「cmd.exe」上右鍵，打開虛擬終端

使用「Pr」工具提權，執行命令添加用戶，以下圖所示

給添加的用戶賦予管理員權限，以下圖所示

給添加的用戶賦予遠程登陸權限，由於遠程登陸用戶組的名稱爲Remote Desktop Users，中間有空格，直接用「Pr」執行會出錯，所以能夠先把要執行的語句net localgroup "Remote Desktop Users" test /add寫到批處理文件中，直接執行批處理命令，以下圖所示

開啓3389端口，以下圖所示

運行mstsc打開遠程桌面，使用test，test做爲用戶名和密碼登陸到服務器，用菜刀把口令破解工具cain上傳到服務器，在服務器上安裝好並打開，切換到「Cracker」標籤下，點擊「LM & NTLM Hashers」，點擊右邊表格區域，在點擊上面藍色的加號，在出現的窗口中選中「Include Password History Hashes」，點擊「NEXT」

這樣即可得到系統中全部的用戶名及其登陸密碼的HASH

如今針對Administrators用戶的登陸密碼HASH進行暴力破解，發現花費時間太長了，最後找到一個在線破解的網站https://www.objectif-securite.ch/en/ophcrack.php ，一下就解出來了,cu9e2cgw

​