[渗透思路] 靶场渗透思路

0x00 实战演练（一）

AWVS检测结果

sqlmap跑起来

猜测估计是xp_cmdshell禁用或者删除

当前权限又是dba，而且支持堆叠可以执行update ，insert，等

于是就准备开启xp_cmdshell

再次osshell看xp_cmdshell是否开启成功。然儿….

不甘心，于是来到burp，如果xp_cmdshell启用返回时间应该是>=5,然儿只有1秒多钟，证明没有开启成功。

于是，利用burp再次开启xp_cmdshell,然儿好像还是不得行

Xp_cmdshell哪里=0呢看看语句是不是有毛病

想到写shell

必须满足：

1.网站绝对路径

2.目录写权限

3.数据库是Dba

但没有站点绝对路径，那岂不是要凉凉。

鼓捣了好一会儿，找到该站点真实ip，从旁站入手了，万一·····

感觉模板是一样的，同样的注入点，再次用sqlmap来梭哈，奇迹出现了哇哈哈哈

终于能执行命令了

接下来就是cs上线，提权

Sqlserver被降权，利用ms16-032提权，或者其他权限提升机器未安装的补丁进行提权

System

利用mimikatz dump账号密码

没有明文，可以利用mimikatz传递ntml，感觉不得行，成功率低。

命令

sekurlsa::pth /user:Administrator /domain:WORKGROUP /ntlm:206ca710d5b82f1c988b301808d1016e/run:powershell.exe

然而好像不得行，算了直接加帐号吧

登录远程终端

看了浏览器的历史记录

顺其自然的登录后台：

开始以为这个后台是另外一台服务器，结果看了iis还有域名解析才发现是当前机器。。。

0x01 实战演练（二）

打开后 是真实ip

nmap  常规来扫下 开放了什么端口 nmap -v -A x.x.x.x

开放端口 8080 8009 2020  6379 443 8081 81

8080  jenkins 8009  403禁止访问2020  手机版bc站6379  redis443   网页版bc 8081  40481    禅道

先看看8080端口的 jenkins

注册个账号看看 adminfk  fk360注册个账号看看 adminfk admin

发现没啥东西 这就尴尬了 试试弱口令 admin 123456 admin test等等，碰巧运气好 账号密码都是test test

继续看81端口的禅道

无漏洞下一个

看了看就剩redis了 看看有没有未授权漏洞

打开 kali  安装下redis  新版本的kali 不自带redis

从前面的jenkins 知道了路径 直接写shell进去

试试写入一个txt

Ok 搞定了 试试写入aspx的马

接下来写入aspx的马，但是不对劲，写入之后只能下载，不能运行，试了php jsp的也不行，好像是个存储文件的地方。

上面还有个禅道，问题是不知道绝对路径，于是本地下载了一个禅道安装看看他的默认安装路径是什么样的

默认的安装是在d盘 以D:xamppzentaowww为根目录，接下来开始写shell 成功写入shell

再次写入phpinfo 也无法输出，然后去百度了关于禅道的资料，原来是要调用模块才可以，这样一来还得去学下如何调用，于是想了下，覆盖他原来的某个文件或许可以，但是毕竟没拿到shell 万一搞蹦了不就没戏了。最后尝试给覆盖了。而且可以连接成功。

成功拿到shell 之后 是system权限，一味着不用提权啥乱七八糟的

直接 net user xxx$ xxx /add --- net localgroup administrators xxx$ /add

直接进入服务器 可以看到服务器开了哪些站 浏览器的历史记录 

原文始发于微信公众号（Pik安全实验室）：[渗透思路] “靶场”渗透思路