目录
1.前言
2.自动化渗透测试
3.漏洞验证
4.漏洞利用
4.1 获取dbo系统管理员账号
4.2 获取员工账号密码
5.urlencode3.py
6.结尾
1.前言
在一个风和日丽的周末,接到了一个赏金渗透测试任务,老莫给了一个URL地址,要求出一些高质量漏洞。本来睡得好好的,周末谁干活呀!交给Automated_bounty_Hunter吧。
2.自动化渗透测试
掏出我们的Automated_bounty_Hunter再睡一觉,等钉钉机器人通知。
编辑
果不奇然,命中了泛微的SQLi漏洞,这个漏洞是今年刚爆出来的,估计还没打补丁升级。有高危了,得搞到权限才行嘛
3.漏洞验证
嗯,漏洞确实存在。
4.漏洞利用
4.1 获取dbo系统管理员账号
sqlmap -r .post.txt --is-dba --level 2 --risk 1 --random-agent --thread=4 --tamper=urlencode3.py
可以看到数据库为:Microsoft SQL Server 2012,权限为:DBA
枚举数据库:
对SQL Server熟悉的话,其实以上返回的是SQL server的系统数据库。
4.2 获取员工账号密码
用户:asanxx
密码密文:Dxxxxxxxxxx1234567890
解密:
明文密码:woshinidie1234
编辑
通过该方式大约获取了300个员工用户账号密码。如果是红队行动,这里可以如何深入?直接提交几百个账号、或者继续利用后台的发文或者邮件发送功能进行社工钓鱼的方式、又或者一个个账号掏出里面有价值的信息,说不定有内网系统账号密码呢?当然这得花大量时间。红队行动从来都不是一个人的单打独斗。当然如果外围的话,可以一个人做,看分拿钱咯!
5.urlencode3.py
请点击阅读原文
6.结尾
虽然没有获取RCE,但也获取了不少账号密码。拿到了几K赏金。哈哈。由于未授权,严禁进行上传木马及后渗透操作。操作不规范,亲人两行泪,大家牢记哦。此次渗透就到这里吧,不再继续深入。
后来才知道,是可以getshell的,看了表哥们的文章才知道,泛微对于堆叠查询做了过滤,过滤了;、--+等特殊字符。原来SQLserver堆叠注入并不需要;,所以SQLmap是无法直接--os-shell的。可惜当时并不知道不需要;就把洞交了。又少了好几个W。唉。
原文始发于微信公众号(网络运维渗透):对某泛微OA的一次渗透测试_利用方式三
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论