实战|SRC某卫生人才网-一次常规getshell渗透

admin 2023年3月21日09:29:21评论41 views字数 1408阅读4分41秒阅读模式
文章转自 戟星安全实验室
侵权请联系删除
实战|SRC某卫生人才网-一次常规getshell渗透

0x00 前言




前两天挖某SRC一个IP的C段意外指向卫生人才网正好SRC没突破遂起杀心本文遇到的注入比较多注入小白大佬们轻喷~

实战|SRC某卫生人才网-一次常规getshell渗透

0x01 信息收集 ✌️




首先子域目录一通扫描好家伙3秒直接封IP


实战|SRC某卫生人才网-一次常规getshell渗透

 


换个IP直接进入愉快的手工信息收集时刻,

查看robots.txt,发现禁用了几个路径


实战|SRC某卫生人才网-一次常规getshell渗透

 

查看web.config文件居然还真有


实战|SRC某卫生人才网-一次常规getshell渗透

 


获取到index.php,尝试访问发现和主页界面没有区别加个二级目录admin试试我直接好家伙tp3,这注入不就来了嘛~


实战|SRC某卫生人才网-一次常规getshell渗透


直接上exp注入测试:

实战|SRC某卫生人才网-一次常规getshell渗透
实战|SRC某卫生人才网-一次常规getshell渗透

https://www.test.com/index.php?username[0]=exp&username[1]==1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)

实战|SRC某卫生人才网-一次常规getshell渗透



然而啥都没有,又尝试了where注入,也没成功。感觉做了修复或者过滤了东西,先放一边继续收集:


实战|SRC某卫生人才网-一次常规getshell渗透


找了其他的一些点没什么收获开始找真实IP多点ping格外的顺利直接没有CDN什么云的ip


实战|SRC某卫生人才网-一次常规getshell渗透 

nmap扫一下开放端口

实战|SRC某卫生人才网-一次常规getshell渗透
实战|SRC某卫生人才网-一次常规getshell渗透

nmap -p 1-65535 -T4 -A -v -Pn [ip]

实战|SRC某卫生人才网-一次常规getshell渗透

 

实战|SRC某卫生人才网-一次常规getshell渗透


使用fofa探测IP及其相邻C段IP开放的相关web服务一番东查西找发现一个看起来比较老的站

 

实战|SRC某卫生人才网-一次常规getshell渗透


实战|SRC某卫生人才网-一次常规getshell渗透

0x02 SQL注入yyds




上来就是测试弱口令admin好吧啥也没有提示账号或密码错误

实战|SRC某卫生人才网-一次常规getshell渗透


手工测试发现输入什么都返回正常,这个站点又这么老,猜测存在布尔类型的注入


实战|SRC某卫生人才网-一次常规getshell渗透


直接上sqlmap测试存在sql注入漏洞


实战|SRC某卫生人才网-一次常规getshell渗透

 


问题又来了延时和报错都是一个字符一个字符判断网站搭建又是asp按照以往经验asp的权限一般很小查看is-dba果然false


实战|SRC某卫生人才网-一次常规getshell渗透 

不是DBA的sql注入就没有灵魂了要么跑出账号密码进后台看看上传但这延时注入一个字符一个字符看着也太揪心了转换突破口期间遇到了泛微云桥天融信VPN不过都没找到突破

 

实战|SRC某卫生人才网-一次常规getshell渗透

实战|SRC某卫生人才网-一次常规getshell渗透

 

兜兜转转之后找到一个aspx的站点瞬间感觉机会来了权限还很高

http://ip:2626/login.aspx 


实战|SRC某卫生人才网-一次常规getshell渗透

 

这个站和sql注入是真有缘手工确认之后直接上sqlmap


实战|SRC某卫生人才网-一次常规getshell渗透

 

加上它是aspx的站点权限是管理权限基本没跑了而且mssql版本还是2000,主机权限system也肯定了这波血赚


实战|SRC某卫生人才网-一次常规getshell渗透

 

成果图已提交某SRC点到为止后续如果需要深入基本就是windows证书certutil下载脚本找个合适的目录上线cs就可以了


实战|SRC某卫生人才网-一次常规getshell渗透

 

实战|SRC某卫生人才网-一次常规getshell渗透

0x03 课后小总结




实战|SRC某卫生人才网-一次常规getshell渗透

插曲一下关于MSSQL数据库注入的一些常规思路


  1. MSSQL2005是一个分水岭,05以下的权限是system,以上的就不是system了,有各种各样的权限,IIS、network service都见得多。

  2. sqlmap中直接使用os-shell基本是可行的,前提是xp_cmdshell可以正常调用。sqlmap在MSSQL中的os-shell是在数据库中建立表,写入执行命令的脚本,但是如果xp_cmdshell被禁用、删除无法恢复等,就需要找到网站的绝对路径,配合sp_oacreate写shell,感觉本质就是vbs文件的利用。

  3. 关于备份getshell中的差异和log,自己也没有研究很多,写不出来合适的东西。以上。

原文始发于微信公众号(菜鸟学信安):​实战|SRC某卫生人才网-一次常规getshell渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月21日09:29:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|SRC某卫生人才网-一次常规getshell渗透https://cn-sec.com/archives/1618330.html

发表评论

匿名网友 填写信息