免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
前段时间经常日有颜色的站,懂得都懂,emmm哈哈哈,但都是套路,跟bc又密不可分。
于是就按着套路顺利打开下面这个站:
刚好正是中午的时候,准备恰饭去,先将这个站丢到某W某S里面,如果有东西就直接捡现成的,于是:
(ps:不得不承认我长得帅!)
懂的都懂
猜测估计是xp_cmdshell禁用或者删除
当前权限又是dba,而且支持堆叠可以执行update ,insert,等
于是就准备开启xp_cmdshell
再次osshell看xp_cmdshell是否开启成功。然儿….
不甘心,于是来到burp,如果xp_cmdshell启用返回时间应该是>=5,然儿只有1秒多钟,
证明没有开启成功。
于是,利用burp再次开启xp_cmdshell,然儿好像还是不得行
Xp_cmdshell哪里=0呢看看语句是不是有毛病
看返回时间是没毛病的,在这里就纳闷了….
在此期间尝试了很多 ,包括沙箱等等burp跟sqlmap都尝试过,
后面还考虑过了站库分离的情况,burp构造发包,发现不是。
想到写shell必须满足:
1.网站绝对路径2.目录写权限
3.数据库是Dba
但没有站点绝对路径,那岂不是要凉凉。
鼓捣了好一会儿,找到该站点真实ip,从旁站入手了,万一·····,一般bc旁站一般也是bc
只能抱着试一试心态去,果不其然,也是bc,但感觉模板是一样的,同样的注入点,再次用sqlmap来梭哈,奇迹出现了哇哈哈哈:(ps:之前的注入点也尝试过union,没幼结果):
终于能执行命令了
接下来就是cs上线,提权,不是特殊目标,不上桌面的黑客不是好黑客
Sqlserver被降权,利用ms16-032提权,或者其他权限提升机器未安装的补丁进行提权
System
利用mimikatz dump账号密码
没有明文,可以利用mimikatz传递ntml,感觉不得行,成功率低。
命令:
sekurlsa::pth /user:Administrator /domain:WORKGROUP /ntlm:206ca710d5b82f1c988b301808d1016e/run:powershell.exe然而好像不得行,算了直接加帐号吧
登录远程终端
看了浏览器的历史记录
顺其自然的登录后台:
开始以为这个后台是另外一台服务器,结果看了iis还有域名解析才发现是当前机器。。。有点小失望emmm
本文转自https://forum.90sec.com/t/topic/876,如有侵权,请联系删除。
技术交流
知识星球
致力于红蓝对抗,实战攻防,星球不定时更新内外网攻防渗透技巧,以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。
涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 200+ 安全资源,针对网络安全成员的普遍水平,并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。
交流群
关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
关注我们
关注福利:
回复“app" 获取 app渗透和app抓包教程
回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库。
回复“书籍" 获取 网络安全相关经典书籍电子版pdf
回复“资料" 获取 网络安全、渗透测试相关资料文档
往期文章
如有侵权请联系:admin#unsafe.sh