记一次常规渗透测试思路

00x01 信息收集

拿到url后，二话不说进行信息收集，使用御剑扫一波路径再说，看看这个站有啥。

然后再扫一波端口，狠一点，直接1-10000扫。但是端口只有80和3306。没开3389难受

经过路径扫描后，对扫出来的东东一一进行访问，测了一些漏洞，有目录遍历，xss、什么的。但是我的想法是既然是搞，搞到底看能不能拿下主机。

00x02 漏洞利用

    得知后台登录页面，想了一下，用下万能密码看看能不能登录进去。

没想到万能密码直接就进去了，看来这个站有点lj啊。既然这样，那就扒拉下后台，看看有没有能够getshell的，顺便当练手咯。

00x03 上传webshell

在管理后台的信息添加处，存在上传点，出于习惯，直接使用图片马进行上传getshell。选择好图片马，使用bp进行捉包修改文件后缀进行上传，这里比较基础，就不细说了。

修改jpg为php进行简单的绕过。其实顺序我觉得是应该先传正常php和jsp看是否会拦截，以及正常返回路径，但是这里我可能是个人习惯，就直接上图片马了，大佬们勿吐槽哈！！

奇怪的事情发生了，返回包是200。但是包中没有返回访问路径，有一只绝对路径，这应该是也算是一个绝对路径泄露吧。但是暂时没用啊，找不到自己的马子，等于白上了。

正当我还在纠结怎么找到访问时，我凑了一眼上传界面。路径就躺在框里。

访问一下上传的图片马，可以访问到，下一步就是上菜刀了。

00x04 获取权限

成功上传了webshell，下一步按正常走，使用菜刀进行文件管理，看看里面有啥。

    这是一个window。可以使用mimikazt捉密码，但是3389前面用nmap扫了也没开，需要cmd开启一下远程，不过我想饶下路子，都到这里了。要不试下创建个账号，给他留点东西以表我来过。。

说干就干，想起之前看过某文章，直接在菜刀执行cmd命令。试一下

阿西吧，发现cmd执行whoami都执行不了，没事，我还有招，给它传个cmd

上传一个自己的cmd，然后用菜刀执行这个cmd的虚拟终端，就可以正常使用命令了。

好了，现在可以正常执行命令了，按计划进行，创建用户一条龙服务。

过分了，可以执行whoami，但是无法创建用户。估计哪里姿势不对，百度一波。

找到了一个win7提权复现的文章，使用CVE-2018-8120来进行提权，应该是需要这个东西才能成功创建用户。

下载链接：https://github.com/unamer/CVE-2018-8120

下载后将对应的exe文件传上去，然后继续我的计划。

上传后再次查看权限，已是system，然后继续创建用户。

Net user xxx xxx /add 第一个x是用户，第二个x是密码

用户创建成功。查看下用户权限。

权限是普通用户，然后将这个用户丢到管理员组。就顺利完成我的提权大计了。

完美！！！剩下一个难关啦，开启3389，然后，哈哈哈哈~~事不宜迟，马上动手。

这里我使用了这条命令进行开启————百度找的。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

然后使用netstat -ano | findstr 3389查看是否开启。

已成功开启3389。接着就是远程远程上去啦。