获取webshell后,上传一句话木马,通过中国菜刀连接启动3389服务,添加管理员账户,获取目标主机的权限
世界之最有哪些新学期开学的祝福语获取webshell插入一句话木马的方法有很多,不一定是通过sql注入.从中国菜刀连接上靶机后,获取服务器权限的步骤方式都一样
Setp 0
实验环境
操作机:Windows XP
目标机:Windows server 2003
实验工具: 中国菜刀 Pr 御剑 Pangolin 3389
本实验要求获取网站的服务器权限.
Step 1
目录扫描
工具:御剑
路径:C:\Tools\目录扫描\
打开御剑,在域名中输入,开始扫描;
在目录列表中查后台,发现存在/admin
双击打开后台登录页面不过用户名和密码都不知道,没关系,进行下一步:获取用户名和密码.
Step 2
工具:旁注WEB综合检测程序修正版
路径:C:\Tools\注入工具\\打开工具,依次点击 SQL注入 -->批量扫描注入点 --> 添加网址 --> 批量分析注入点;
出现下面这个对话框说明已经检测完毕;
点击OK进行下一步;
注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择 检测注入;
点击 检测注入 后,主界面从 批量扫描注入点 转到 SQL注入猜解检测,点击 开始检测;祖国在我心中读后感
2020两会最新政策重阳节手抄报内容检测完毕后,显示可以注入,并列出了数据库类型:Access数据库;
下面开始逐步 猜解表名 -->猜解列名--> 猜解内容;点击 猜解表名 后,在数据库列表中会显示4个表,分别是admin、user、movie和news;
选择admin表,点击 猜解列名,成功猜解出三个列名id、username和password;
勾选username和password,点击 猜解内容,右侧列表中成功显示用户名admin,密码469e80d孙颖莎最新主管教练
32c0559f8
当然密码是MD5加密的,打开本机浏览器,输入,输入刚刚查询到的密文,点击 解密;
成功到明文密码:admin888;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论