和柠檬草叔叔的泪奔史:从注入到内网漫游
2015-10-16
#内网漫游
#MSSQL注入
作者:王松_Striker && 柠檬草
邮箱:song@secbox.cn
团队:安全盒子团队
前言
注入点是jcms的一个注入点,然后进行注入获取密码以后,安全核心核心成员wefgod对密码进行了逆向(在此感谢wefgod大神),但是登陆后台提示密码错误,各种无解,最终发现注入点可以执行命令,自己鼓捣了很久无果,于是拉上草叔叔,就有了下文,非常精彩的一个过程。
0x01撕开内网入口
松叔叔给我发了一个sa权限的注入点。条件是:库站分离。
ps:也是比较蛋疼的,sqlmap的回显比较慢,虽然可以加上–threads参数提高线程速度,但是还是有些偏慢。
其实最不好的处理的是库站分离,而且是在内网里面。
xp_cmdshell松叔叔把它恢复好了,然后执行命令就好:
http://www.xx/xx.jsp?xxid=11;EXEC master..xp_cmdshell ‘命令’–
思路:
1、ftp下载远控
2、vbs下载远控
但是这一切都需要内网能够连接外网。
执行命令,ping了一下百度。
www.a.shifen.com是baidu的保护壳,这证明是ping的通的,于是echo写ftp。
接踵而来的是工具执行一条命令好像会被执行两次…
这就导致ftp不能成功登录。
思路:
1、手工在注入点写(可能是工具多执行了一次把?)
2、帐号设置为open ip,这样就可以登录进去,后面的错误命令不会导致出错,可以无视。
最后还是松蜀黍V5的实现了思路1,得到了服务器,我在本地实现了思路2,但是最后不知道为什么还是没有执行成功download到木马。
0x02 内网漫游
@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find
"The command completed successfully." /v`) DO (
@FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO (
@FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo \\%%k [%%j])
)
)
用这个bat跑了一下。大致了解一下内网情况。只有一个工作组
当前我们是处于192.168.2.15这台数据库服务器,根据电脑名猜了一下,可能192.168.212或者192.168.2.14是web服务器。
抓了一发服务器的管理员密码,然后感觉这密码还有点规律啊。
aaa@bbb 其中bbb是电脑名的前缀,然后就是各种构造密码爆破。
其中也试过MSSQL凭据密码获取工具,但是密码还是没获取出来。
对c段的ip扫了一下端口。
天清汉马USG防火墙:
一个web服务器:
手工检测了一下,是有sql注入的,但是没找到后台。
然后就是各种翻服务器文件,找敏感信息。
0x03 getshell
松叔叔这时候测试目标站的后台,发现数据库服务器的管理员密码能够登录后台。
是一个jcms系统,wooyun一下。
http://www.wooyun.org/bugs/wooyun-2014-064240
得到一个shell,然后查看ip的时候,我没有哭。
它就是我已经爆破出来的服务器,而且翻了很久配置文件的服务器。
ps:这不是iis搭建的web,所以我不知道怎么看本地的web配置。
FROM : hackersb | Author:王松
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论