第二次实战演习记录

目标域名：http://106.54.65.253

信息收集部分：

如果防护严的话，就只能买台上海地区的腾讯云服务器搞了。

中间件：apache

操作系统：windows

Robots.txt：存在

开放端口：利用fofa查件搜集一波，nmap搜集到135、139、445是filtered状态

访问disallow文件：

CMS：织梦（v57 sp2）

脚本语言：php（7.3.4）

织梦默认后台地址：/dede/login.php(访问一下，没问题，后台地址未被修改)

访问后台：

漏洞探测：

后台爆破 （admin 123456 密码错误）

后台帐号密码：admin admin

文件管理器存在任意文件上传

图里面的webshell.php和test.php都是我上传的大马。

为什么不是先传小马呢？

因为一开始我已尝试了小马，菜刀链接时显示200ok就断掉了，至于什么原因导致的，我还没整明白。（提问？？？？？？？给阿浪）

但是大马为什么成功？

我也就是想都尝试一下，看看运气。

为什么上传两个大马？

test.php有个搜索文件的功能，有利于我们找falg，但是这个大马查看文件的时候会403（所以用了webshell.php打包系统文件下载下来，进行查看），这个大马还有执行系统函数的模块，但是很明显执行不了，为什么？我看了一下phpinfo的信息。如下图：

再来看看上传后的大马：

test.php:搜索flag.txt，整个C盘确实就搜到这么一个flag.txt文件。

登录webshell大马：admin

打包flag.txt，base64解密一下即可。

代码执行漏洞

先访问http://106.54.65.253/dede/tpl.php?action=upload获取token值

再访问：

http://106.54.65.253/dede/tpl.php?filename=asusua.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=7aa9fba7ce14a6a2ab33edd1aaab33e2

返回结果，创建asusual.lib.php成功，这里写入的是一个phpinfo文件，如果后台没爆破出来，可以以这个漏洞作为切入点。

访问一下创建成功的asusual.php文件：

爆破3389：15分钟无果，暂时不搞了（ftp也是）。

后面我又下载了一下网站相关配置文件：mysql—test:testtest。本来想下载SAM文件，离线爆破一下密码的，结果拉下来0KB？

以下搜集一点点内网信息：打包windows服务器上的远程连接日志，可以获取内网中连接3389到网站服务器的主机IP信息：

Webshell.php下载改文件查看内容：

ip为10.53.69.68 不找这些了，服务器都没上去，要这些也没用。

445那个端口，没公网环境，不会端口转发，还没尝试搞。

Mad重新写的，周日写的不小心电脑重装了，没留存，难搞！！