从注入到上线
2023-4-17 17:4:17 Author: Tide安全团队(查看原文) 阅读量:15 收藏

0x01目标

声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。

直接上目标,这是一个普普通通的某系统。(只能露半脸)


0x02 打点

直接开始整活~ ·~ 先来试一手弱口令

没有验证码,还提示用户名不存在,直接打开burp~ 上字典!很遗憾,一眼到头全是“用户名不存在”

那么问题就来了,要么统一返回的都是“用户名不存在”,要么是真的没有碰到用户名,既然普通的用户字典没有成功,那么可以考虑下是不是工号,一般为4位或者6位数字,再次进行爆破。终于出现两个不一样的东西

虽然得到了用户名但是从爆破界面可以看到不论是否是存在的用户,爆破有一定次数会进行锁定。

希望之光来了,又好像没来

0x03shell

想着换一条思路,然后扫了一眼爆破的窗口发现一个问题,有几个特殊的用户名都是登陆次数过多被锁定了。

他们共同特点都是有“ ' ”单引号。

啥也别说直接上Sqlmap

结果啥也没跑出来,但是事情肯定没这么简单,手动尝试下。

很明显报错注入 构造报错语句

显示出数据库名。既然存在那就好办,还是掏出sqlmap 然后指定数据库类型,指定注入点以及注入方式,直接run。

成功跑出,发现为dba权限直接尝试os-shell。

0x04上线

1、尝试写马

这里想通过echo来写一个webshell,那么首先我们需要找到网站的绝对路径。这里我们可以找一张图片然后通过find命令来寻找它的路径。

dir /a /s /b e:\ | findstr "20201203122243_5254.png" >1.txt

然后通过type查看路径

type 1.txt

结果发现路径没有完全显示,很奇怪,这里猜测是sqlmap的问题,所以想通过powershell进行反弹shell。

2、powershell 反弹

尝试使用powershell直接反弹出来,首先在vps上起一个监听

然后利用powershell进行反弹。发现被封ip(在执行其他命令时没有封禁ip,猜测有waf以及杀软)

换个ip继续,发现powershell拒绝访问(这里忘记截图),于是猜测杀软可能是某数字。使用copy 来绕过对powershell的限制

copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 2.exe

成功执行

监听成功收到会话。

这里继续查看下刚才find的路径

wtf? 这里肯定不是用“?”来作为文件夹名称 大概是是中文,所以这里是问号,sqlmap也不能显示出来。

3、上线

既然没办法写shell那么就直接上cs。首先查看杀软进程:

还是老办法使用copy命令来绕过使用certutil来进行文件落地。

然后执行直接上线 成功上线

搞定~

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......

星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享

星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......

星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247510169&idx=1&sn=f1b40ef38fbd0122c85127ed4aa7af41&chksm=ce5d8af8f92a03ee777f7d20ef4fe9d7f106db7e2f4177a3a08b8930a14b2baa303f8b482931#rd
如有侵权请联系:admin#unsafe.sh