sql注入->提权->渗透

系统 ：kali 2.0

工具：sqlmap

注入点：http://bi×××××.org.cn/news_detail.php?id=547

权限：DBA

目标：window 2k3 开放 3389 端口

通过路径的各种爆错无效，无法获得绝对路径，目标网站上面没测试指针，存在phpmyadmin但是也无法爆路径。

读数据库破MD5登录后台发现无利用的地方。

使用sqlmap 的--file-read  对c:\boot.ini文件进行读取

设想lamp环境的安装是默认的，那么可以通过读php的配置文件获得绝对路径。但是在读取

c:\windows\php.ini

c:\windows\system32\inetsrv\MetaBase.xml

这些文件根本就不存在。

那么换一个思路，读取information_schema数据库中的SESSION_VARIABLES表，在里面可以发现一些很有用的信息::

很好，从这个路径中可以知道是使用wamp server进行环境搭建的，这也就说明我上面读取不到信息的主要原因。

那么接下来就可以读取一下wamp的wampmanager.conf文件 ，从上面的路径可以知道安装wamp 的时候 是默认路径安装的，

结果

ok，接下来再读取httpd.conf文件获得物理路径

ok，成功得到物理路径，接下来就可以办正事了。

直接使用--os-shell看看是

很好，得到了一个shell，看看系统都打了哪些补丁，在shell中执行systeminfo无回显，使用--os-cmd方式试试看

成功回显数据

但是从返回的信息中的系统型号中发现目标是一个VMware的虚拟机，我日。

查看一下权限有多大。

很好，system权限，人品大爆发了，

接下来查看 一下用户信息

已是system权限那么说修改一下guest用用户的权限登录进去接着突突。

1 net user guest /active:yes

2 net user guest hack

3 net localgroup administrators guest /add

很好，查看一下guest用户现在的状态

OK , guest 已在管理员组了，这时可以使用3389上去了，但是使用3389很容易给发现，可以不连接的时候就不要随便登录上去。这个帐号就留着备用吧
 接下来，好戏开始，使用sqlmap 的shell上传wget.exe到c:\windowns\system32\目录下，这样就可以解决下载问题了，方便至极。操作与linux一样。棒极了。对，要的就是这种感觉。使用 wget 下载pwwdump.exe到system32目录下改名为pwd.exe获取hash值

破解

得到密码为admin接下来那就好办了，开启telnet登录上去

查看一下这台服务器里面的信息与有什么有用的信息

可以看到，这台服务器早就给破处了，或许是菊花一地都是了。。。。

Ok，使用net view查看一下当前的网络情况。

嗯，有5台服务器，通过ping  主机名得到对应的ip，使用nmap扫描都开放3389端口，OK试试上面破解得到的username 与password 3389上去，

发现还真的青一色的虚拟机，3台2003 、2台2008R2，在这两台2008R2中应该有一台是真实的物理主机，但是无法使用破解得到 的密码进行登录所以暂时无法获得结果

在使用ipconfig -all查看服务器的IP设置情况时发现了一个很有意思的东西，那就是路由

使用公网IP的路由器，这个有意思，一般的情况下路由器的登录帐号密码都是没更改的，试着登录上去看看是什么情况，

哈哈，好家伙，H3C企业级路由器，使用默认的admin admin登录试试人品

OK，上去了。查看一下内网的配置情况，但是一无所获，就像服务器的IP设置一样，并没有发现有内网

果断加一个system帐号

 

先闪人，以后有时间再配置vpn连接进去下一步的渗透。