一、資訊收集

拿到目標網站，可見是一個很常規的bc站。

先進行簡單的資訊收集，通過Wappalyzer外掛可見php版本與windows serve這兩個比較重要的資訊

命令列nslookup+url檢視ip,發現沒有CDN

再到愛站上看看

嗯，柬埔寨可還行

知道ip地址後端口掃描一波（全埠掃描+服務探測。這個過程比較漫長，可以先幹別的）

在掃描之餘嘗試3389連線遠端桌面（因為開始已經看到是windows serve的伺服器）

試了兩次，猜測是修改埠了，或者是登入ip白名單？

二、後臺爆破

回到web，反手在url後面加一個admin

後臺出來了，這bc有點水啊，隨手測了幾個弱口令，無果

發現沒有驗證碼校驗，抓包爆破一波

通常找一些常規的弱口令進行爆破就夠了

秒出密碼：123456，我吐了，他們運維可能要被打死

三、尋找上傳點

這麼簡單就拿下了後臺，我們當然不會滿足。

大致瀏覽了一下後臺的各個功能，尋找可以利用的地方，在系統管理處找到一處上傳點

（有沒有表哥發收款碼過來，暴富的機會來了！）

隨便寫一個一句話，並將字尾改成.jpg並且抓包傳送到Repeater檢視

提示“不是真正的圖片型別” ，在包內改成php字尾，提示非法檔案型別

感覺是白名單+檔案頭校驗，嘗試圖片馬

嘗試了幾波，白名單限制得很死，沒繞過去

頓時陷入了僵局，還是另外尋找突破口吧

四、峰迴路轉

認真想了一下，它是Windows，而Windows的主流建站工具，寶塔

請求包中Accept-Encoding: gzip, deflate,將gzip,deflate中間的空格刪掉

並在下面加上一句：Accept-Charset:+所執行命令的base64編碼

我驚呆了，真的是用phpstudy建站的，這站長心也太大了吧,接下來的事情就好辦多了。

五、蟻劍無檔案shell連線之

編碼器記得改成base64

然後將一句話進行base64編碼，複製到Accept-Charset:

修改蟻劍內的請求資訊，處Header頭修改如圖下

測試連線，成功連線上

發現直接是SYSTEM許可權，這就好玩了

六、上傳mimikatz抓取Hash

新建目錄，上傳winrar.exe+mimikatz

使用上傳的winrar解壓，命令：winrar.exe e x64.rar

執行mimi.bat,這裡說一下下圖後面最好加上一個exit，不然的話mimikatz會不斷的寫日誌，導致log檔案越來越大,當時就犯了這樣一個錯誤

將生成的mimikatz.log複製到網站根目錄下,然後去檢視

成功抓到管理員的RDP的密碼。

回頭看看之前掃的全埠也掃好了

可見總共開了三個埠，一般更改了3389埠 用nmap掃描加-sV引數後，掃出的rdp服務,一般service會顯示為ssl/unknown.

嘗試遠端桌面連線

嘻嘻，成功登入，拿下伺服器，隨即點了根菸，將所有證據打包好，掏出了手機撥打110

七、總結

在我們拿下webshell的時候，想要獲取資料或者原始碼往往會用菜刀或者蟻劍去打包，但是這個時候往往就會出現很多問題，列如打包失敗，或者是打包得不完整等等。

這個時候如果對方是windows伺服器的話，我們可以將我們本地裝的winrar.exe上傳過去

壓縮盤下的dat資料夾，並且命名為bat.rarwinrar.exe a -ag -k -r -s -ibck c:/bak.rar c:/dat/

壓縮多個檔案winrar a -ag -ibck bak.rar filename1 filename2 filename....

引數說明：a:備份所有檔案；-ag:當建立壓縮檔案時，以格式“YYYYMMDDHHMMSS”附加當前日期字串,檔名bakYYYYMMDDHHMMSS.rar；-k:鎖定壓縮檔案；-r:備份目錄和子目錄；-s:建立固實壓縮檔案；-ibck:後臺執行；

filename1：要壓縮的檔名，可以多個，也可用萬用字元file*

點贊，轉發，在看

原創投稿作者：楚天

作者部落格：https://ct-gov.cn/

文章寫於：2019/12/10/