【渗透实战系列】23|-某菠菜网站渗透实战

  • A+
所属分类:安全文章
【渗透实战系列】23|-某菠菜网站渗透实战
亲爱的,关注我吧
【渗透实战系列】23|-某菠菜网站渗透实战

9/24

文章共计1769个词

预计阅读7分钟


1

前言

最近听说用某棋牌产品建的站存在SQL注入,刚好别人发来一个


【渗透实战系列】23|-某菠菜网站渗透实战

渗透惯用套路一把梭

信息收集 -> 漏洞探测/利用 -> 提权/权限维持 -> 清理痕迹

2

信息收集


【渗透实战系列】23|-某菠菜网站渗透实战

浏览器访问主页初步发现

系统:Windows server中间件 IIS7.5语言:ASPX

端口扫描
nmap -sV -T4 -p- 11x.xx.xxx.xx

【渗透实战系列】23|-某菠菜网站渗透实战

开放的端口真不少其中web服务的有几个:80(当前主页)、81、82、88、4700181:是这个棋牌站的后台82:也是个后台,不知道是什么系统的后台,有验证码88/47001:访问失败

1433:数据库 mssql

还开了 139445 但是被过滤了,不知道是不是有防火墙,后面再看

敏感目录扫描

先用 Dirsearch 过一遍,前面搜集到网站语言是 aspx,加上 -e 指定语言

python dirsearch.py -u http://11x.xx.xxx.xx -e aspx

【渗透实战系列】23|-某菠菜网站渗透实战


再用 7kbscan 过一遍,毕竟这里面收集的都是国人常用的字典

【渗透实战系列】23|-某菠菜网站渗透实战

/m/ 是用户注册页面,可能有用,先记着

【渗透实战系列】23|-某菠菜网站渗透实战


/test.html是调起微信的入口,没啥用,可能是在手机端引导受害者聊天的吧

【渗透实战系列】23|-某菠菜网站渗透实战



查IP

北京某个运营商的服务器,菠菜在国内服务器建站挺大胆的

【渗透实战系列】23|-某菠菜网站渗透实战



信息整理

【渗透实战系列】23|-某菠菜网站渗透实战



估计就是个人建的小站,不去展开收集更过的东西了,免得打偏浪费时间

3

漏洞探测

重点先放在前面找到的 81 端口,也就是网站的后台管理页面

【渗透实战系列】23|-某菠菜网站渗透实战

没有验证码,用户名 / 密码随便写个 admin / admin,抓包

【渗透实战系列】23|-某菠菜网站渗透实战

用户名加了个引号发送请求直接返回报错了,不出意外应该会有报错注入或者盲注啥的

【渗透实战系列】23|-某菠菜网站渗透实战

兵分两路

一路把这个数据包保存到本地 qipai.txt,用 sqlmap 去扫,前面已经知道是 mssql 数据库,加上 --dbms 参数指定数据库类型节约时间

python sqlmap.py -r qipai.txt --dbms "Microsoft SQL Server" --dbs


另一路,把数据包发送到 intruder 模块去爆破密码,尝试了在浏览器随便输入用户名,提示 "用户名不存在",输入 admin 的时候提示 "用户名或密码错误",说明 admin 账户是存在的,只爆破密码就行


【渗透实战系列】23|-某菠菜网站渗透实战

爆出密码 888999,弱口令,永远滴神!😁

成功登录后台

【渗透实战系列】23|-某菠菜网站渗透实战

只有 69 个注册用户,剩下的全是机器人,这 69 个用户冲了 143 万?玩棋牌的都这么有钱吗,我欢乐斗地主都舍不得冲 6 块首充😥

【渗透实战系列】23|-某菠菜网站渗透实战

赌博沾不得呀,这个老哥一天输了 2800

【渗透实战系列】23|-某菠菜网站渗透实战

在后台翻了半天没找到上传点,先放着

回到另一路 sqlmap 看看,确定存在注入,已经在慢慢跑库名了

【渗透实战系列】23|-某菠菜网站渗透实战

跑出 16 个库,根据名字猜 RYPlatformManagerDB 库可能存着管理员的相关信息

【渗透实战系列】23|-某菠菜网站渗透实战


跑表名

python sqlmap.py -r qipai.txt --tables -D RYPlatformManagerDB


【渗透实战系列】23|-某菠菜网站渗透实战


翻了半天就找到一个管理员的账号密码,就是前面 bp 爆破出来的那个,还有一些用户的信息,没啥更有价值的

python sqlmap.py -r qipai.txt --is-dba

【渗透实战系列】23|-某菠菜网站渗透实战


是 DBA 权限,尝试拿 shell,mssql 数据库直接用 sqlmap 爆破路径就行了

python sqlmap.py -r qipai.txt --os-shell

用的盲注,时间较慢,经过漫长的等待终于成功拿 shell,渗透呐,表面上是个技术活,实际上是个体力活🤔

当前用户权限很小,只是个 mssql 数据库权限

【渗透实战系列】23|-某菠菜网站渗透实战

Systeminfo 查看一下系统信息,可以看到系统是 64 位的 Windows server 2008

Cobaltstrike 生成攻击载荷,再目标机器上用 powershell 加载,目标机器成功上线

【渗透实战系列】23|-某菠菜网站渗透实战

net user 查看用户

【渗透实战系列】23|-某菠菜网站渗透实战

tasklist 查看进程,应该没有装杀软

【渗透实战系列】23|-某菠菜网站渗透实战

net start 查看已开启的服务,可以看到防火墙是开启的,所以前面 nmap 扫描 445 等端口被过滤

【渗透实战系列】23|-某菠菜网站渗透实战

关闭防火墙,额还没提权😮

【渗透实战系列】23|-某菠菜网站渗透实战


4

提权/维权

前面得知这个机器是 windows server 2008,尝试用土豆提权(MS16-075)


【渗透实战系列】23|-某菠菜网站渗透实战

执行后稍等了一会儿,比较幸运,这个机器没打补丁,一次就提权成功,拿到 system 权限,开始为所欲为😊

【渗透实战系列】23|-某菠菜网站渗透实战

进入文件管理,能看到前面信息收集时的 test.html 文件

【渗透实战系列】23|-某菠菜网站渗透实战

netstat -ano 看一下端口开放情况,3389 没有开

【渗透实战系列】23|-某菠菜网站渗透实战

手动开启一下

【渗透实战系列】23|-某菠菜网站渗透实战

可以访问远程桌面了

【渗透实战系列】23|-某菠菜网站渗透实战

cobaltstrike 操作我不是很熟练,还是用 metasploite 吧,通过 cs 上传一个 msf 生成的马,msf 开启监听

注:cs 可以直接派生 shell 给 msf,但是当时我尝试的老半天 msf 一直没有返回 session,所以才无奈先手动上传一个 msf 的马曲线救国

【渗透实战系列】23|-某菠菜网站渗透实战

msf 开启监听

【渗透实战系列】23|-某菠菜网站渗透实战

在 cs 上运行上传的马

【渗透实战系列】23|-某菠菜网站渗透实战

msf 成功拿到 shell,是继承的 system 权限

【渗透实战系列】23|-某菠菜网站渗透实战

查看密码哈希,不能获取,因为msf的这个马是32位的,系统是64位的

【渗透实战系列】23|-某菠菜网站渗透实战

ps 查看进程,在进程中找一个以 system 权限运行的 64 位的程序,迁移进程后再获取哈希

【渗透实战系列】23|-某菠菜网站渗透实战

到在线破解哈希的网站查一下 administrator 的密码,密码不算复杂,几秒钟就查到了

【渗透实战系列】23|-某菠菜网站渗透实战

成功登录远程桌面

【渗透实战系列】23|-某菠菜网站渗透实战

留两个后门,一个webshell,一个开机自启的nc用来反弹shell

【渗透实战系列】23|-某菠菜网站渗透实战



5

清理痕迹/撤退

meterpreter 的 clearv 命令一键清除


【渗透实战系列】23|-某菠菜网站渗透实战

或者手动删除 Windows 日志

【渗透实战系列】23|-某菠菜网站渗透实战



6

总结


【渗透实战系列】23|-某菠菜网站渗透实战



7

实验推荐

利用sqlmap辅助手工注入 

https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015011915533100001

通过本实验的学习,你能够了解sqlmap,掌握sqlmap的常用命令,学会使用sqlmap辅助手工完成注入。



8

声明

本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与作者无关。


推荐阅读:



渗透实战系列


【渗透实战系列】22|-渗透系列之打击彩票站

【渗透实战系列】21|一次理财杀猪盘渗透测试案例

【渗透实战系列】20|-渗透直播网站

【渗透实战系列】19|-杀猪盘渗透测试

【渗透实战系列】18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透实战测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙(文末附【渗透实战系列】其他文章链接)

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

【渗透实战系列】23|-某菠菜网站渗透实战

长按-识别-关注

【渗透实战系列】23|-某菠菜网站渗透实战

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透实战系列】23|-某菠菜网站渗透实战

点分享

【渗透实战系列】23|-某菠菜网站渗透实战

点收藏

【渗透实战系列】23|-某菠菜网站渗透实战

点点赞

【渗透实战系列】23|-某菠菜网站渗透实战

点在看



本文始发于微信公众号(Hacking黑白红):【渗透实战系列】23|-某菠菜网站渗透实战

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: