[漏洞战争活动]一步一步渗透兄弟连讲师并获取Administrator权限

Thanos

网上现在已经出了很多渗透的教程，但是我觉得讲的都不够详细，对于一些新手来说，
理解起来还是有一些难度.所以我自己拿最近的事件科普一份 渗透教程（这是我三年以来第一次做教程）
作为一名网络安全爱好者(非骇客)，时常会对一些纯在安全隐患的节点以及系统进行安全测试（黑盒/白盒测试）.
教程开始吧！
0x1-需要用到的工具及函数
1、maocaidao一款执行函命令数的工具,（我们叫的中国菜刀）俗称一句话木马连机器,支持（ASP/ASPX/PHP/JSP/PY）
的一句话木马操作；
2、php一句话木马 (将用户输入的参数以PHP执行)；
3、没啦，本次渗透基本采用手工。
0x2-开始！:
1、经过一段时间的嗅探抓包，可以确定讲师电脑的IP地址是192.168.146.250
2、得到IP的第一反应肯定是访问IP地址就可以进入讲师的网站目录，但是得到一个失望的响应就是直接访问IP地址
会跳转到一个phpinfo的目录里面没有其他文件，这是怎么回事呢？接着看下面

3、涛哥在讲课的时候我们都看到讲师是以localhost访问的本地目录，（由此可以判断出是因为讲师在apache（阿帕奇）
配置下把虚拟主机目录与访问来源进行了绑定，若外部访问IP就直接跳转到phpinfo目录（假），若是本地（localhost/127.0.0.1）访问则
使用正常目录（真）。
[/url]
得出的结论是必须以本地计算机（localhost/127.0.0.1）访问则可以进入正常目录，我这是外部计算机，要怎样才能以本地方式访问讲师
计算机呢？（虽然讲师限制了外部访问，嘿嘿！但是还是有方法可以进去，接下来看下面）
4、我可以修改本机的hosts文件将 localhost强行指向192.168.146.250（原本localhost是指向127.0.0.1）；
[url=http://www.thanos.vip/wp-content/uploads/2016/07/20160714035838483.bmp]

这句话的意思是我只要在我机器上访问localhost就会被强制跳转到192.168.146.250；（我是称为跨服式跳转式攻击，绝对原创哈！）
而讲师的apache会将我的访问以localhost（本地）方式访问，指向正常的目录；
5、接下来访问localhost会是什么效果已经可以访问讲师的正常目录（上课时的目录）
[/url]
（上图是已经进入了讲师的htdocs目录，但是没有控制权，接下来是获取其控制权！）
6、想要得到控制权首先要可执行输入的任何参数，可以用一句话木马实现
问题来了，在哪里插入一句话木马呢？这个不是问题，作为一个资深的php讲师，电脑上不可能没有学生做的源码
以及能输入参数的php文件，（找到138班某个学生做的文件操作作业这个php文件可以创建文件以及添加内容）
我可以以这个文件来创建个php文件以及文件的参数，
[url=http://www.thanos.vip/wp-content/uploads/2016/07/20160714040113961.bmp]
在里面新建一个php文件，内容为一句话木马。
7、现在我已经把一句话木马写入讲师的电脑，访问看看能否执行（OK！）
8、现在使用maocaidao（菜刀）连接我们刚才创建的一句话木马
[/url]
[url=http://www.thanos.vip/wp-content/uploads/2016/07/20160714040439867.bmp]
看下讲师的apache虚拟主机是怎样配置的（果然是限制了来源访问）
[/url]
好OK已经拿下讲师的webserver控制权，现在已经连接上讲师电脑的一句话木马，我现在可以控制讲师整个网站以及环境了。
（既然拿到了webserver何不把最高权限给拿下呢，那我下一步进行提取，获取其最高权限[拿下Administrator]）;
9、使用maocaidao连接远程终端，就是讲师电脑上的telnet，以php参数来执行操作系统命令，有解课老师给我们讲过用”
执行系统命令，我现在就是用的这个方法，只是用的是maocaidao工具，这样效率更快。
开始超级终端执行个set命令和查看网卡信息命令，可以查看讲师当前系统环境变量已经网卡配置，是否可以执行系统命令，（结果是true！）
[url=http://www.thanos.vip/wp-content/uploads/2016/07/20160714040629769.bmp]
执行成功！（返回的结果是可以以php在讲师的电脑上执行系统命令，这就意味着我可以操作权限命令，达到提权的目录）
执行查看当前系统账户命令net user看返回结果
[/url]
执行成功！讲师的电脑上存在两个用户一个超级管理员Administrtaor，一个来宾账户guest
我当然不能直接更改讲师的超级用户，不然会被打死，我就拿讲师的guest进行提权，将guest加入管理组Administrators。
首先是修改guest账户密码
[url=http://www.thanos.vip/wp-content/uploads/2016/07/20160714040753977.bmp]
guest密码修改成功，
接下来将guest加入超级用户组Administrators
net localgroup administrators guest /add
[/url]
OK!完成！提权成功！（guest已经得到最高权限administrators）
执行完上面的命令意料之外的事情发生了

被讲师发现了，OK就这样！(漏洞已协助讲师修复)
By：[url=http://Thanos.vip]Thanos.
我的链接：http://Thanos.vip