【红队日记】看我轻松拿shell

admin 2024年10月18日23:28:53评论13 views字数 1172阅读3分54秒阅读模式

免责声明

本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

前言

某地HVV,远程看着打了下,说是轻松拿shell,可一点不轻松,主要靠运气。

SQL注入到上线cs

1.发现SQL注入

该网站为一个很老的企业官网,在新闻处看到数字加html

【红队日记】看我轻松拿shell

以前有过类似经历,注入点就在数字处,去掉html保留数字发现也正常回显

【红队日记】看我轻松拿shell而且asp网站经验来看一般都是access数据库,字段比较简单,功能单一,猜测真实参数为id,果然回显正确

【红队日记】看我轻松拿shell

直接sqlmap可以跑出来注入,还是很舒服的。

sqlmap -u https://xxx.com/xxxx-view.asp?id=23 -p id

【红队日记】看我轻松拿shell

sqlmap -u https://xxx.com/xxxx-view.asp?id=23 -p id --tables

爆破出了三个表名

【红队日记】看我轻松拿shell

有一个登录相关表名,利用sql-shell执行sql查询一下该表

sqlmap -u https://xxx.com/xxxx-view.asp?id=23 -p id --sql-shell

执行SQL语句:select * from xxx_login

【红队日记】看我轻松拿shell

查到了账户名密码,但开始长度并不是32位没有想到MD5,以为是明文,后面队友查了一下才发现MD5解了出来

【红队日记】看我轻松拿shell

2.拿到后台

后台地址在页脚位置隐藏,最开始是没有发现的

https://xxxxxx.com/xxx_admin/login.asp

账号密码 admin/1234xxxxxx

【红队日记】看我轻松拿shell

3.数据库备份Getshell

最开始在编辑器尝试上传图片,发现白名单无法绕过

最后发现数据库备份功能,竟然是asp脚本

【红队日记】看我轻松拿shell

这种我在做asp靶场见过,现实中让我遇到了

当我修改文章内容,将一句话木马写入其中,然后备份发现写进去了,但是被实体化了

【红队日记】看我轻松拿shell

发现是编辑器内的问题,那我不用编辑器,直接在标题类型输入一句话木马就行了。找到一处荣誉添加的地方。

【红队日记】看我轻松拿shell

成功保存添加

【红队日记】看我轻松拿shell

再次点击备份,这里我将路径退到根目录

【红队日记】看我轻松拿shell

写入成功,这次没有尖括号被实体化

【红队日记】看我轻松拿shell

菜刀连接木马https://xxxxxx.com/dbback/xxxxup.asp,密码chopper

【红队日记】看我轻松拿shell

但是执行命令会拒绝访问

所以后面尝试了上传大马,这个还挺好用的,密码:wmphp.com,要的话后台回复asp大马

【红队日记】看我轻松拿shell

【红队日记】看我轻松拿shell

大马也无法执行命令,显示没权限

后面在网站目录下上传了自定义的cmd.exe之后,利用大马里的cmd执行,shell路径改为上传cmd的物理路径才能执行命令。

【红队日记】看我轻松拿shell

【红队日记】看我轻松拿shell

4.上线CS

上传cs木马,利用该命令执行,成功上线

【红队日记】看我轻松拿shell

fscan扫描无果,打完收工

上传文件后缀可控

还有一个asp网站,后台弱口令,上传文件的后缀后台可控,还有大量敏感信息,因此增加了asp后直接上传asp拿到shell,就不截图,没啥技术含量。

【红队日记】看我轻松拿shell
师傅们求点赞,求支持!

原文始发于微信公众号(WIN哥学安全):【红队日记】看我轻松拿shell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月18日23:28:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【红队日记】看我轻松拿shellhttps://cn-sec.com/archives/1876780.html

发表评论

匿名网友 填写信息