一、信息收集
拿到目标网站,可见是一个很常规的bc站。
先进行简单的信息收集,通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息
![图片[1]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419865.png)
命令行nslookup+url查看ip,发现没有CDN
![图片[2]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419868.png)
再到爱站上看看
![图片[3]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419876.png)
嗯,柬埔寨可还行
知道ip地址后端口扫描一波(全端口扫描+服务探测。这个过程比较漫长,可以先干别的)
![图片[4]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419877.png)
在扫描之余尝试3389连接远程桌面(因为开始已经看到是windows serve的服务器)
![图片[5]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419881.png)
试了两次,猜测是修改端口了,或者是登录ip白名单?
二、后台爆破
回到web,反手在url后面加一个admin
![图片[6]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419884.png)
后台出来了,这bc有点水啊,随手测了几个弱口令,无果
发现没有验证码校验,抓包爆破一波
![图片[7]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419885.png)
通常找一些常规的弱口令进行爆破就够了
![图片[8]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419886.png)
秒出密码:123456,我吐了,他们运维可能要被打死
![图片[9]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419887.png)
![图片[10]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419888.png)
三、寻找上传点
这么简单就拿下了后台,我们当然不会满足。
大致浏览了一下后台的各个功能,寻找可以利用的地方,在系统管理处找到一处上传点
![图片[11]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419890.png)
(有没有表哥发收款码过来,暴富的机会来了!)
随便写一个一句话,并将后缀改成.jpg并且抓包发送到Repeater查看
![图片[12]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419895.png)
提示“不是真正的图片类型” ,在包内改成php后缀,提示非法文件类型
![图片[13]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419899.jpeg)
感觉是白名单+文件头校验,尝试图片马
![图片[14]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419899.png)
尝试了几波,白名单限制得很死,没绕过去
顿时陷入了僵局,还是另外寻找突破口吧
四、峰回路转
认真想了一下,它是Windows,而Windows的主流建站工具,宝塔,护卫神,phpstudy,upupw。之前看到它的php版本是5.2.17,正好想到前段时间爆出的phpstudy的2个后门,后门存在于php-5.4.45和php-5.2.17两个版本中。马上测试一波
![图片[15]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419903.png)
![图片[16]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419904.png)
请求包中Accept-Encoding: gzip, deflate,将gzip,deflate中间的空格删掉
并在下面加上一句:Accept-Charset:+所执行命令的base64编码
我惊呆了,真的是用phpstudy建站的,这站长心也太大了吧,接下来的事情就好办多了。
五、蚁剑无文件shell连接之
![图片[17]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419909.png)
编码器记得改成base64
然后将一句话进行base64编码,复制到 Accept-Charset:后面
![图片[18]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419914.png)
修改蚁剑内的请求信息,处Header头修改如图下
![图片[19]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419915.png)
测试连接,成功连接上
![图片[20]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419917.png)
![图片[21]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419919.png)
发现直接是SYSTEM权限,这就好玩了
六、上传mimikatz抓取Hash
![图片[22]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419920.png)
新建目录,上传winrar.exe +mimikatz
![图片[23]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-16034199201.png)
使用上传的winrar解压,命令:winrar.exe e x64.rar
![图片[24]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419921.png)
运行mimi.bat,这里说一下下图后面最好加上一个exit,不然的话mimikatz会不断的写日志,导致log文件越来越大,当时就犯了这样一个错误
![图片[25]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419922.png)
![图片[26]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419923.png)
将生成的mimikatz.log复制到网站根目录下,然后去查看
![图片[27]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-16034199231.png)
成功抓到管理员的RDP的密码。
回头看看之前扫的全端口也扫好了
![图片[28]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419925.png)
可见总共开了三个端口,一般更改了3389端口 用nmap扫描加 -sV参数后,扫出的rdp服务,一般service会显示为 ssl/unknown.
尝试远程桌面连接
![图片[29]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-16034199251.png)
嘻嘻,成功登录,拿下服务器,随即点了根烟,将所有证据打包好,掏出了手机拨打110
七、总结
在我们拿下webshell的时候,想要获取数据或者源码往往会用菜刀或者蚁剑去打包,但是这个时候往往就会出现很多问题,列如打包失败,或者是打包得不完整等等。
这个时候如果对方是windows服务器的话,我们可以将我们本地装的winrar.exe上传过去
![图片[30]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419926.png)
压缩盘下的dat文件夹,并且命名为bat.rar winrar.exe a -ag -k -r -s -ibck c:/bak.rar c:/dat/
压缩多个文件 winrar a -ag -ibck bak.rar filename1 filename2 filename....
参数说明: a :备份所有文件; -ag :当创建压缩文件时,以格式“YYYYMMDDHHMMSS”附加当前日期字符串,文件名bakYYYYMMDDHHMMSS.rar; -k :锁定压缩文件; -r:备份目录和子目录; -s :创建固实压缩文件; -ibck:后台运行;
filename1:要压缩的文件名,可以多个,也可用通配符file*
![图片[31]-看我如何拿下BC站的服务器(bc站什么意思)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-144284-1603419928.png)
原创投稿作者:楚天
作者博客:https://ct-gov.cn/
文章写于:2019/12/10/
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144284.html
暂无评论内容