一、基本情况：

• 服务器环境：Apache/2.2.14 (Win32) PHP/5.3.1
• 服务器IP：1.2.3.4
• 网站类型：PHP，网站程序采用joomlaCMS
• Whois信息：没有对whois做查询

二、思路的定制

由于网站采用joomla程序，joomla程序作为国外一款很常见的程序用到的特别多，而joomla程序本身也是比较安全的，可能你会说，你不是说安全么，为什么exploit-db上有他的漏洞，注意看，我说的是本身是比较安全的，没有说它的插件是比较安全的。

 

三、实施阶段

信息收集

---

1、robots文件：

默认后台：www.123.com/administrator

2、测试phpinfo

存在：http://www.123.com/phpinfo.php

得到物理路径和一些其他的信息

渗透开始

---

一、WEB篇

exploit-db.com

在上面寻找以知的漏洞进行各种测试，无果，，过程环节各种蛋疼，测试了很多，都特么的不成功，陷入蛋疼过程，浪费了一些时间，

难道真的要旁或者C，这可是一个不归路，算了，，再GOOGLE一下吧！也许会有奇迹发生

奇葩的转折点

通过GOOGLE的各种搜索，搜到了一个链接，打开看看，其实没抱有希望的

 

在option的参数后面加个单引号爆出了SQL语句，难道这里有注入，继续测试，这是个希望，当继续测试and 1=1 a=a or 1=1 a=a等均302跳转，

好不容易找到一个能报错的页面，难道就放弃，不对，也许是我手工技术不行，姿势不对，果断的丢sqlmap

 

神器就是神器，果然有，瞬间，心中涌起万匹草泥马，终于有突破口了，抽支烟，平复下激动的心情，先把裤子脱下来

 

到了这一步，哦！找到了注入，找到了物理路径，来吧！看看权限，看看能不能直接写，是DBA，运气啊！人品啊！心里那个高兴啊！

 

PS：由于是事后写的文档，没图，就看字心里高高兴兴的去交互写SHELL———–失败

–file-write——–失败

各种测试，花了些时间

没事，咱不是还有后台账号和密码么，解密去

 

CMD5、群各种解密，各种问，好吧！没解开，，蛋疼了，不过还好，没到绝望的地步，一个新的思路出来了，update下管理员的密码，拿到shell再把密码update回去可否，说干就干，，可惜失败了。

还好，还是有希望的，读下配置文件，看到配置文件里面的东西了么，邮箱、数据库，看到这路思路有来了

 

思路一：看看是不是有phpmyadmin或者MYSQL是否开启外链测试结果：失败

思路二：利用邮箱找回密码

测试结果：登陆了两个邮箱，均测试失败

再次陷入困境

 

峰回路转进入后台

---

 

当所有的希望都放在破解后台密码进后台的时候，公司的服务器还真没放我失望，爆破成功，当我拿到明文的那一刻，我果断的跑厕所去尿了一泡

 

尿完回来听着一首“咱老百姓”继续干，Joomla后台拿shell比较简单，添加一个PHP

 

然后上传一个shell，上传以后目录为/images/xx.php  OK，SHELL终于拿下，下一步，提权内网

 

二、内网篇

拿到SHELL了，当然是先提权，看了下权限，运气真J8好，直接system，但是一看IP，哟西，内网果断的添加账号+转发

 

拿到第一台服务器，运气比较好

 

Net view一看，吓尿 这么多，查询域用户，卧槽，不是一般的多

 

恩，整理下思路，现在有内网服务器一台，接下来就是抓hash，说干就干，抓到不少，

 

OK，经过对抓到的hash进行分析，net user /domain查询域账号的时候得到了很多用户，同时也得到了DC的地址User accounts for \\123.456.com，

通过ping得到的地址抓到了ip，同时在WEB服务器上抓到hash有一个账号密码和域中的一个账号密码是一样的，果断尝试登陆，登陆成功拿下第二台服务器

打开域一看，我的乖乖这么多，既然是这样继续抓域控的hash秒杀内网去

 

打开DNS看了下网段，晕了，，共享更多

 

总结：

内网漫游还未全部完成，内网确实大

可能运气成分比较中

 

【原文：www.baobaosb.tk 作者：宝-宝 】