前言最近听说用某产品建的站存在SQL注入,刚好别人发来一个渗透惯用套路一把梭信息收集->漏洞探测/利用->提权/权限维持->清理痕迹1.网络安全多个方向学习路线2.全网最全的CTF入门学习资料4.网安大厂面试题合集5.红蓝对抗实战技术秘籍浏览器访问主页初步发现系统:Windowsserver中间件IIS7.5语言:ASPX端口扫描开放的端口真不少其中web服务的有几个:80(当前主页)、81、82、88、:是这个站的后台82:也是个后台,不知道是什么系统的后台,有验证码88/:访问失败1433:数据库mssql还开了139、445但是被过滤了,不知道是不是有防火墙,后面再看敏感目录扫描先用Dirsearch过一遍,前面搜集到网站语言是aspx,加上-e指定语言再用7kbscan过一遍,毕竟这里面收集的都是国人常用的字典/m/是用户注册页面,可能有用,先记着查IP北京某个运营商的服务器,菠菜在国内服务器建站挺大胆的估计就是个人建的小站,不去展开收集更过的东西了,免得打偏浪费时间漏洞探测重点先放在前面找到的81端口,也就是网站的后台管理页面没有验证码,用户名/密码随便写个admin/admin,抓包用户名加了个引号发送请求直接返回报错了,不出意外应该会有报错注入或者盲注啥的兵分两路一路把这个数据包保存到本地qipai.txt,用sqlmap去扫,前面已经知道是mssql数据库,加上--dbms参数指定数据库类型节约时间另一路,把数据包发送到intruder模块去爆破密码,尝试了在浏览器随便输入用户名,提示"用户名不存在",输入admin的时候提示"用户名或密码错误",说明admin账户是存在的,只爆破密码就行爆出密码,弱口令,永远滴神!
成功登录后台只有69个注册用户,剩下的全是机器人,这69个用户冲了143万?玩的都这么有钱吗,我欢乐都舍不得冲6块首充沾不得呀,这个老哥一天输了2800在后台翻了半天没找到上传点,先放着回到另一路sqlmap看看,确定存在注入,已经在慢慢跑库名了跑出16个库,根据名字猜RYPlatformManagerDB库可能存着管理员的相关信息跑表名翻了半天就找到一个管理员的账号密码,就是前面bp爆破出来的那个,还有一些用户的信息,没啥更有价值的是DBA权限,尝试拿shell,mssql数据库直接用sqlmap爆破路径就行了用的盲注,时间较慢,经过漫长的等待终于成功拿shell,渗透呐,表面上是个技术活,实际上是个体力活当前用户权限很小,只是个mssql数据库权限Systeminfo查看一下系统信息,可以看到系统是64位的Windowsserver2008Cobaltstrike生成攻击载荷,再目标机器上用powershell加载,目标机器成功上线tasklist查看进程,应该没有装杀软关闭防火墙,额还没提权前面得知这个机器是windowsserver2008,尝试用土豆提权执行后稍等了一会儿,比较幸运,这个机器没打补丁,一次就提权成功,拿到system权限,开始为所欲为手动开启一下可以访问远程桌面了cobaltstrike操作我不是很熟练,还是用metasploite吧,通过cs上传一个msf生成的马,msf开启监听注:cs可以直接派生shell给msf,但是当时我尝试的老半天msf一直没有返回session,所以才无奈先手动上传一个msf的马曲线救国msf开启监听在cs上运行上传的马msf成功拿到shell,是继承的system权限查看密码哈希,不能获取,因为msf的这个马是32位的,系统是64位的ps查看进程,在进程中找一个以system权限运行的64位的程序,迁移进程后再获取哈希到在线破解哈希的网站查一下administrator的密码,密码不算复杂,几秒钟就查到了成功登录远程桌面留两个后门,一个webshell,一个开机自启的nc用来反弹shellmeterpreter的clearv命令一键清除或者手动删除Windows日志利用sqlmap辅助手工注入通过本实验的学习,你能够了解sqlmap,掌握sqlmap的常用命令,学会使用sqlmap辅助手工完成注入。
