渗透测试入门 —— 真的很简单

1.本题是渗透测试入门的一道基础题，虽然美其名曰“真的很简单”，但对于新手还是有一定挑战性的，实践并掌握本题中的所有知识点，对渗透测试的基本理解有很大帮助。

此题的目标是对一个基于织梦 CMS 的网站进行渗透测试，找到网站登录后台，继而入侵服务器找到存放 flag 的文件。从实验手册上，可看出其中还会涉及到简单的提权过程。

题目链接：https://www.ichunqiu.com/battalion?t=2&r=54399
解题链接：https://www.ichunqiu.com/vm/51123/1

实验环境
本次实验要求获取目标网站的FLAG信息。
目标网站
2.网站管理员的密码是多少？
第 1 题相对简单，在实验环境内根据提示打开下载链接 http://file.ichunqiu.com/49ba59ab，接着下载爆破工具 dedecms.exe：

打开工具，输入目标 URL，一键爆破得到管理员的账号 ichunqiu 与密码哈希值 adab29e084ff095ce3eb：

对md5加密的密码进行解密

成功得到明文
image.png
3.网站后台目录名是什么？
第 2 题上来先尝试织梦 CMS 的默认后台路径 /dede/index.php 或 /dede/login.php，得到 404 的结果也是意料之中，即现在的问题是要找出修改后的后台目录名。
打开实验工具箱，发现【目录扫描】文件夹，以【御剑后台扫描工具】为例，对目标 URL 扫描后得到如下结果：

并未发现后台地址
注意，为了保证扫描效率，一般后台扫描工具都是采用字典扫描，而不是暴力穷举，因此不同扫描器得到的结果不完全相同，尽可能使用多种扫描器，偏僻怪异的名字可能扫描不出来。
笔者采用了多种扫描器，并对其可能的结果进行验证，都一无所获，即可判断此后台目录名具有较强的个性或随机性。
所以要转换思路，看看织梦 CMS 是否存在后台地址信息泄露的漏洞。果不其然，发现从报错文件 /data/mysql_error_trace.inc 或 /data/mysqli_error_trace.inc 中，可得到泄露的后台路径。
最后在 /data/mysqli_error_trace.inc 中获得后台目录名为 lichunqiul：

对其进行验证，终于看到了后台登录页面：

4.管理员桌面中 flag 文件信息是？
用账号 ichunqiu 与密码 only_system 登录后台后，根据实验手册，要想办法利用中国菜刀连接服务器，获得 webshell，进而查看 flag 文件中的信息。
获取 webshell
首先我们需要在服务器插入一句话木马，然后才能用菜刀连接，获得 webshell。
直接修改模板 PHP 源码
依次点击 模板 -> 标签源码管理，以编辑第一个模板 adminname.lib.php 为例：

在模板中写入一句话

使用中国菜刀连接

成功拿到shell

先切换至管理员桌面

可以看到存在一个flag文件，使用type命令尝试看下

发现提示没有权限
用 cacls 命令查看 flag 文件的访问控制列表（ACL），后用 whoami 命令查看用户名，发现 authority\system 用户对于 flag 文件的权限是 N，即无权限

使用whoami发现我们的权限是system，这是最高权限啊，用 cacls 命令更改了访问权限后，authority\system 用户对于 flag 文件的权限变成了 F

成功拿到flag