sql注入->提权->渗透

zzgzyyz

　　系统 ：kali 2.0
　　工具：sqlmap
　　注入点：http://bi×××××.org.cn/news_detail.php?id=547
　　权限：DBA
　　目标：window 2k3 开放 3389 端口
　　
　　通过路径的各种爆错无效，无法获得绝对路径，目标网站上面没测试指针，存在phpmyadmin但是也无法爆路径。
　　读数据库破MD5登录后台发现无利用的地方。
　　使用sqlmap 的--file-read  对c:\boot.ini文件进行读取
　　
　　设想lamp环境的安装是默认的，那么可以通过读php的配置文件获得绝对路径。但是在读取
　　c:\windows\php.ini
　　c:\windows\system32\inetsrv\MetaBase.xml
　　这些文件根本就不存在。
　　那么换一个思路，读取information_schema数据库中的SESSION_VARIABLES表，在里面可以发现一些很有用的信息::
　　
　　很好，从这个路径中可以知道是使用wamp server进行环境搭建的，这也就说明我上面读取不到信息的主要原因。
　　那么接下来就可以读取一下wamp的wampmanager.conf文件 ，从上面的路径可以知道安装wamp 的时候 是默认路径安装的，
　　
　　结果
　　
　　ok，接下来再读取httpd.conf文件获得物理路径
　　
　　
　　ok，成功得到物理路径，接下来就可以办正事了。
　　直接使用--os-shell看看是
　　
　　
　　很好，得到了一个shell，看看系统都打了哪些补丁，在shell中执行systeminfo无回显，使用--os-cmd方式试试看
　　
　　成功回显数据
　　
　　但是从返回的信息中的系统型号中发现目标是一个VMware的虚拟机，我日。
　　查看一下权限有多大。
　　
　　很好，system权限，人品大爆发了，
　　
　　接下来查看 一下用户信息
　　
　　已是system权限那么说修改一下guest用用户的权限登录进去接着突突。
　　1 net user guest /active:yes
　　2 net user guest hack
　　3 net localgroup administrators guest /add
　　很好，查看一下guest用户现在的状态
　　
　　OK , guest 已在管理员组了，这时可以使用3389上去了，但是使用3389很容易给发现，可以不连接的时候就不要随便登录上去。这个帐号就留着备用吧
接下来，好戏开始，使用sqlmap 的shell上传wget.exe到c:\windowns\system32\目录下，这样就可以解决下载问题了，方便至极。操作与linux一样。棒极了。对，要的就是这种感觉。使用 wget 下载pwwdump.exe到system32目录下改名为pwd.exe获取hash值
　　
　　破解
　　
　　得到密码为admin接下来那就好办了，开启telnet登录上去
　　
　　查看一下这台服务器里面的信息与有什么有用的信息
　　
　　可以看到，这台服务器早就给破处了，或许是菊花一地都是了。。。。
　　Ok，使用net view查看一下当前的网络情况。
　　
　　嗯，有5台服务器，通过ping  主机名得到对应的ip，使用nmap扫描都开放3389端口，OK试试上面破解得到的username 与password 3389上去，
　　发现还真的青一色的虚拟机，3台2003 、2台2008R2，在这两台2008R2中应该有一台是真实的物理主机，但是无法使用破解得到 的密码进行登录所以暂时无法获得结果
　　在使用ipconfig -all查看服务器的IP设置情况时发现了一个很有意思的东西，那就是路由
　　
　　使用公网IP的路由器，这个有意思，一般的情况下路由器的登录帐号密码都是没更改的，试着登录上去看看是什么情况，
　　哈哈，好家伙，H3C企业级路由器，使用默认的admin admin登录试试人品
　　OK，上去了。查看一下内网的配置情况，但是一无所获，就像服务器的IP设置一样，并没有发现有内网
　　果断加一个system帐号
　　
　　
　　先闪人，以后有时间再配置vpn连接进去下一步的渗透。