某地级市HW从SQL注入艰难拿下域控
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责。
起因
某地级市HW,给了某单位一个类似VPN的登录界面,根据收集的信息无论如何都打不动,尝试弱口令、未授权等均失败,继续收集其他资产进行渗透。
1. 官网(部署到云上)
在官网人才招聘处发现存在sql注入。
sqlmap一把梭。
信息收集找到后台http://xxxxxx/smax/Login.asp,发现是某迈CMS
通过注入获取的账号密码及认证码登录后台
模板管理处任意文件上传,可惜在云上,没搞,提权个system结束。
2. SQL注入getshell
由于官网在云上,通过子域名获取到了项目管理资产,存在未授权查看用户。
通过泄露的用户弱口令的登录进行登录。
后台找到了任意文件读取,这里没利用。
聊天功能存在上传点,但是是白名单,没搞,但是用户搜索存在mssql注入,dba权限,直接执行命令
注入出的管理员账号密码解不出来,替换后提示账户锁定,但是用户表不存在锁定字段,又是站库分离,全局搜索存在Allow字段表。
存在一个SystemSetting的表。
表里有上传文件类型,直接添加asp上传成功。
存在域
由于不出网,提了个system抓了波hash收集了下域信息后就关站了。
3. 子系统SQL注入拿下域控
由于上一个子域关站了,又重新找了一个资产,也存在sql注入存在waf,0:5中间添加空格可绕过
使用%00可绕过waf
直接执行命令,这次是system权限。
跟上面一样,站库分离,不出网,但是在域中,这里使用xpcmdshell执行命令将工具echo进去先将impacket中的secretsdump.exe使用certutil -encode编码成txt,在使用脚本读取内容echo到目标上,然后再目标上再使用certutil还原成exe这里echo最大只能写入100行,但是文本有十二万九千多行,这里传了大概二十来分钟。
使用前面抓取到的administrator的hash获取域中所有成员的hash。
这里也是成功解密了几个明文密码,其中有两个域管
继续上传工具,让域控执行命令
这里ping百度发现域控出网,正准备上线可惜对方发现关站了。
推广一波自己的星球:
安全绘景:持续更新0/1day的poc、红队技巧、实战文章、实用工具等资源,欢迎各位师傅来扰,不满意直接退款。最后祝愿各位师傅天天高危!
原文始发于微信公众号(backdoor):某地级市HW从SQL注入艰难拿下域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论