敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

admin 2023年6月5日15:15:58评论27 views字数 2102阅读7分0秒阅读模式

获网安教程

免费&进群

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】  
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

本文由掌控安全学院-杜星翰投稿

一、概述

去年9月份自己参加考试后,遇到的真题,对于我这个小白来说还难的,后来我通过某途径拿到了资料,自己搭建了靶场,无论对于准备考试的还是初学者,都会有帮助,大佬请绕行。目前题目仅给了一个内网IP,除了IP没有任何信息,因此我们需要从信息收集开始。(此题要拿到3个FLAG)

二、技术实战

(1)信息收集-端口扫描

当仅给我们一个IP的时候我们第一步要做的就是端口扫描,看看是否有可疑的端口,这些可疑端口包括不限于网站端口80、8088数据端口3306、1433 高风险端口445、137等。在我经过扫描后,发现了几个可疑的端口1433(SQL SERVER)27689(不知道是啥)
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(2)信息收集-查看页面源代码

尝试打开网页看看吧,是一个后台登录站点
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
看到一个后台登录站点后,我们的思路应该是先查看(页面源代码)是否有敏感信息,有的时候源代码会泄露敏感信息。经查看也没有看到什么敏感信息,仅知道了他是一个aspx站,这个后边对我们有帮主
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(3)信息收集-目录扫描

我们知道他是aspx站点了,这个时候我们先进行目录扫描,看看是否有备份文件及敏感信息。
把这几个勾选上即可

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(4)万能密码+弱密码

先让他扫描的,我们也不能闲着,试一试后台能不能绕过,先试一试万能密码
admin’ or 1=1— -尝试 结果心凉了,看他那个提示就知道没有必要尝试弱密码了。我们看看目录扫描结果吧

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(5)敏感信息泄露获取

敏感信息主要关注类似与,bak,robot这样的目录
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
robot 目前没啥用
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
我去数据库账号和密码,喵喵的,当时考试的时候我很开心的。

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
看到了网站的登录用户名和密码(登录后拿到第一个flag)

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
(6)文件上传绕过GET-SHELL
发现文件上传点
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
文件上传的思路:
文件检测点通常是对文件后缀、文件名、文件类型、文件内容检测。因此我们长传的时候为了方便,快速测出漏洞点,用木马的时候建议先用Jpg格式长传
发现是白名单,不允许上传,这不是没戏了,我们看看他是检测了什么
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
上传jpg可以,(评论:废话这还用你说)

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
我翻了好久,在数据里看到一个提示,应该是数据超过32位会被截断

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
于是我有了一个大胆的想法,我们来试一试
尝试了多次,发现还差两位,在增加两位应该就可以了

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
当时想终于可以了,心想这不so easy ,当你高兴的太早,世界总有人给你一个大B兜
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
正常是复制图片或者点击图片应该就可以跳转到图片的位置或者返回包中能看到路径。可是当我点击的时候,给我下载了,这可咋办没思路了,咋能知道路径呢

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
当时在想,要不试一试怎么能让他报错吧,好像是说报错有可能报出路径,报这试一试的态度,复制图片连接,然后在中间加上【】(报错的原理是输入【数组】传参一般会报错),这次报出路径了

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

解析成功了,然后我们用菜刀连接下
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
菜刀连接成功(在某个目录下拿到第二个flag)

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(6)XP_CMDSHELL提权(考试是内网环境不能上外网,没有选择)

EXEC是sql-server的提权方式需要sa账号才可以。
我们在网站目录下发现了新的备份文件,sa的账号

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(6.1)连接数据库进行提权(考试时要背下来哦,平时网上一查一大堆)

USE master
RECONFIGURE
exec sp_configure ‘show advanced options’,1;
RECONFIGURE
exec sp_configure ‘xp_cmdshell’,1;

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(6.2)关闭防火墙

exec xp_cmdshell ‘netsh firewall set opmode disable’;

(6.3)开启3389(这个一般靶机环境里带的,实战环境百度下也很简单)

把3389.bat复制进去
敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

(6.4)更改administrator的密码

exec xp_cmdshell ‘net user administrator’

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】
远程桌面登录(拿到key)

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

三、总结

拿到一个IP后—->端口扫描(是否风险端口)—->目录扫描(是否有敏感信息)—->登录页面(弱密码+万能密码)——>文件上传(过长截断+报错找到上传路径)——>xp_cmd提权——>开启3389、关闭防火墙、获取管理员密码或更改密码。
希望对大家有所帮助,谢谢~~ 在这里再次感谢聂风老师,每次讲课都是非常风趣同时总会给我们拓展知识,又让我学习到了好的东西,真的很感谢掌控~~ 。


申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

没看够~?欢迎关注!


分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

 

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

 分享后扫码加我



回顾往期内容


Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力





原文始发于微信公众号(掌控安全EDU):敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日15:15:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   敏感信息泄露+文件上传(新思路)+xp_cmdshell提权【某考试综合题-真题】https://cn-sec.com/archives/1783304.html

发表评论

匿名网友 填写信息