某地级市HW从SQL注入艰难拿下域控

admin 2024年2月14日01:07:47评论26 views字数 1110阅读3分42秒阅读模式

某地级市HW从SQL注入艰难拿下域控

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责。

起因

某地级市HW,给了某单位一个类似VPN的登录界面,根据收集的信息无论如何都打不动,尝试弱口令、未授权等均失败,继续收集其他资产进行渗透。

1. 官网(部署到云上)

在官网人才招聘处发现存在sql注入。

某地级市HW从SQL注入艰难拿下域控

sqlmap一把梭。

某地级市HW从SQL注入艰难拿下域控

信息收集找到后台http://xxxxxx/smax/Login.asp,发现是某迈CMS

某地级市HW从SQL注入艰难拿下域控

通过注入获取的账号密码及认证码登录后台

某地级市HW从SQL注入艰难拿下域控

模板管理处任意文件上传,可惜在云上,没搞,提权个system结束。

某地级市HW从SQL注入艰难拿下域控

某地级市HW从SQL注入艰难拿下域控

2. SQL注入getshell

由于官网在云上,通过子域名获取到了项目管理资产,存在未授权查看用户。

某地级市HW从SQL注入艰难拿下域控

通过泄露的用户弱口令的登录进行登录。

某地级市HW从SQL注入艰难拿下域控

后台找到了任意文件读取,这里没利用。

某地级市HW从SQL注入艰难拿下域控

聊天功能存在上传点,但是是白名单,没搞,但是用户搜索存在mssql注入,dba权限,直接执行命令

某地级市HW从SQL注入艰难拿下域控

某地级市HW从SQL注入艰难拿下域控

注入出的管理员账号密码解不出来,替换后提示账户锁定,但是用户表不存在锁定字段,又是站库分离,全局搜索存在Allow字段表。

某地级市HW从SQL注入艰难拿下域控

存在一个SystemSetting的表。

某地级市HW从SQL注入艰难拿下域控

表里有上传文件类型,直接添加asp上传成功。

某地级市HW从SQL注入艰难拿下域控

某地级市HW从SQL注入艰难拿下域控

存在域

某地级市HW从SQL注入艰难拿下域控

由于不出网,提了个system抓了波hash收集了下域信息后就关站了。

3. 子系统SQL注入拿下域控

由于上一个子域关站了,又重新找了一个资产,也存在sql注入存在waf,0:5中间添加空格可绕过

某地级市HW从SQL注入艰难拿下域控

使用%00可绕过waf

某地级市HW从SQL注入艰难拿下域控

直接执行命令,这次是system权限。

某地级市HW从SQL注入艰难拿下域控

跟上面一样,站库分离,不出网,但是在域中,这里使用xpcmdshell执行命令将工具echo进去先将impacket中的secretsdump.exe使用certutil -encode编码成txt,在使用脚本读取内容echo到目标上,然后再目标上再使用certutil还原成exe这里echo最大只能写入100行,但是文本有十二万九千多行,这里传了大概二十来分钟。

某地级市HW从SQL注入艰难拿下域控

使用前面抓取到的administrator的hash获取域中所有成员的hash。

某地级市HW从SQL注入艰难拿下域控

这里也是成功解密了几个明文密码,其中有两个域管

某地级市HW从SQL注入艰难拿下域控

继续上传工具,让域控执行命令

某地级市HW从SQL注入艰难拿下域控

这里ping百度发现域控出网,正准备上线可惜对方发现关站了。

某地级市HW从SQL注入艰难拿下域控

广

0/1daypoc退

某地级市HW从SQL注入艰难拿下域控

某地级市HW从SQL注入艰难拿下域控

原文始发于微信公众号(backdoor):某地级市HW从SQL注入艰难拿下域控

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月14日01:07:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某地级市HW从SQL注入艰难拿下域控https://cn-sec.com/archives/2206126.html

发表评论

匿名网友 填写信息