WooYun.org

最近在看了下Php2008sp4管理员提权0day方法，于是想找个网站实践下，该漏洞首先需要用管理员账号登录系统后台，才能进行接下来的操作，于是我就google hacking 搜索了下使用Php2008sp4的网站，坏男人网就成了我测试的目标：
1.可是怎么进php2008sp4的后台呢，试了半天就知道用户名是admin，密码没搞出来，有点像放弃了，绝望之际，扫描到了一个URL地址http://www.huainanren.net/locoy.php，试着访问了下，我擦尼玛，访问该网址不需要输入用户名密码直接进入了后台，并且角色是“超级管理员”，真是走了狗屎运。

通过数据库备份查看，存在121个表，还有很多信息，不一一列举了。

2.接下来于是通过Php2008sp4管理员提权0day方法拿网站shell，很快就拿到了webshell，
，发现该服务器上同时又部署了10个网站，那岂不是这些网站也沦陷了，所以多个网站最好不要部署在同一台服务器上啊。

接下里赶紧找找网站配置文件,经过一番寻觅，找到了config.inc.php这个家伙，嘿嘿，数据库配置信息，包括DB_HOST、DB_USER、DB_PW等，有了这些就可以对数据库进行操作了。

连接上数据库后，发现存在huainanrenw、wwwlady、wwwlizhip、wwwhuainanren等多个数据库，随便查看了下
phpphpcms_member表：

phpphpcms_admin表：

3.查看目录的过程中，发现该网站使用了phpmyadmin，于是就想进去再看看，于是就扫了下，愣是没扫描phpmyadmin的后台地址，不着急慢慢来，终于在E:\upupw\目录下发现了个叫做“密码相关.txt”文件，翻开看了下，不但发现了phpmyadmin的访问地址，还发现了Kangle服务器的web端地址。

先访问了下http://www.huainanren.net/pmd/，用户名和密码都在config.inc.php，直接进来看了下。

然后试了访问了下Kangle服务器的web端地址www.huainanren.net:3388，用户名和密码一样都为upupw，果断进入了。
Kangle服务器总体信息：

一共有16个虚拟主机：

请求控制（配置信息），可以修改匹配模块。

连接信息：

4.最后试着看能否提权拿到服务器权限，发现获取的webshll已经是system权限，并且服务器开放了3389端口。

但是就是不知道远程连接的用户名和密码，最后想着通过添加账户并设置为Administrators组，可是试了多次，系统提示“发生系统错误5”，上网查了下，原来是权限不够，无法将添加的帐户放到管理员组。

但是发现该服务器安装了FTP，上传大马应该可以通过FTP服务提权，不过后来自己没试，渗透到此为止。