0x00 实战演练(一)
AWVS检测结果
sqlmap跑起来
猜测估计是xp_cmdshell禁用或者删除
当前权限又是dba,而且支持堆叠可以执行update ,insert,等
于是就准备开启xp_cmdshell
再次osshell看xp_cmdshell是否开启成功。然儿….
不甘心,于是来到burp,如果xp_cmdshell启用返回时间应该是>=5,然儿只有1秒多钟,证明没有开启成功。
于是,利用burp再次开启xp_cmdshell,然儿好像还是不得行
Xp_cmdshell哪里=0呢看看语句是不是有毛病
想到写shell
必须满足:
1.网站绝对路径
2.目录写权限
3.数据库是Dba
但没有站点绝对路径,那岂不是要凉凉。
鼓捣了好一会儿,找到该站点真实ip,从旁站入手了,万一·····
感觉模板是一样的,同样的注入点,再次用sqlmap来梭哈,奇迹出现了哇哈哈哈
终于能执行命令了
接下来就是cs上线,提权
Sqlserver被降权,利用ms16-032提权,或者其他权限提升机器未安装的补丁进行提权
System
利用mimikatz dump账号密码
没有明文,可以利用mimikatz传递ntml,感觉不得行,成功率低。
命令
sekurlsa::pth /user:Administrator /domain:WORKGROUP /ntlm:206ca710d5b82f1c988b301808d1016e/run:powershell.exe
然而好像不得行,算了直接加帐号吧
登录远程终端
看了浏览器的历史记录
顺其自然的登录后台:
开始以为这个后台是另外一台服务器,结果看了iis还有域名解析才发现是当前机器。。。
0x01 实战演练(二)
打开后 是真实ip
nmap 常规来扫下 开放了什么端口 nmap -v -A x.x.x.x
开放端口 8080 8009 2020 6379 443 8081 81
8080 jenkins
8009 403禁止访问
2020 手机版bc站
6379 redis
443 网页版bc
8081 404
81 禅道
先看看8080端口的 jenkins
注册个账号看看 adminfk fk360注册个账号看看 adminfk admin
发现没啥东西 这就尴尬了 试试弱口令 admin 123456 admin test等等,碰巧运气好 账号密码都是test test
继续看81端口的禅道
无漏洞下一个
看了看就剩redis了 看看有没有未授权漏洞
打开 kali 安装下redis 新版本的kali 不自带redis
从前面的jenkins 知道了路径 直接写shell进去
试试写入一个txt
Ok 搞定了 试试写入aspx的马
接下来写入aspx的马,但是不对劲,写入之后只能下载,不能运行,试了php jsp的也不行,好像是个存储文件的地方。
上面还有个禅道,问题是不知道绝对路径,于是本地下载了一个禅道安装看看他的默认安装路径是什么样的
默认的安装是在d盘 以D:xamppzentaowww为根目录,接下来开始写shell 成功写入shell
再次写入phpinfo 也无法输出,然后去百度了关于禅道的资料,原来是要调用模块才可以,这样一来还得去学下如何调用,于是想了下,覆盖他原来的某个文件或许可以,但是毕竟没拿到shell 万一搞蹦了不就没戏了。最后尝试给覆盖了。而且可以连接成功。
成功拿到shell 之后 是system权限,一味着不用提权啥乱七八糟的
直接 net user xxx$ xxx /add --- net localgroup administrators xxx$ /add
直接进入服务器 可以看到服务器开了哪些站 浏览器的历史记录
原文始发于微信公众号(Pik安全实验室):[渗透思路] “靶场”渗透思路
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论