记一次站库分离从注入到拿下web server
2021-11-06 11:43:03 Author: www.t00ls.net(查看原文) 阅读量:23 收藏

2021-11-06 09:55:38 53

在一次测试中遇到了一个mssql的注入点

开启xp_cmdshell之后执行命令为system权限

当我准备先上一个shell的时候发现web盘符不存在

然后netstat看了下网络链接
判断为站库分离

然后看了下是不出网的

但是dns可以出网

没有杀软直接准备使用dns beacon上线cs

然后在上线木马的时候被卡住了
这里不能直接在xpcmdshell输入powershell命令上线木马 可能是太长了的原因导致出错

考虑落地木马 想起y4神的之前的这篇文章https://y4er.com/post/certutil-powershell-write-file/

但是这里的单双引号和|管道符导致执行sql报错

查了一下和y4那个方法一样的但是不用管道符的powershell写法

powershell -c "add-content C:\1.bat -value \"test\""


然后使用这个命令就能去除换行

powershell "-join((gc -LiteralPath \"c:\1.bat\"))"

配合burp成功落地木马

将其写到新的bat里面然后运行静待上线

powershell "-join((gc -LiteralPath \"c:\1.bat\"))">c:\2.bat

进入beacon后输入checkin强制回连主机
收集了下信息 发现为工作组环境 无域
随后发现为系统为2012抓不到明文 先dump下hash

hash无法解密 然后去查了下sa的hash 也解不出来 收集了一下密码文件 感觉作用都不是很大
但是直接运气爆棚 直接用这个hash去wmi横向 搭个socks代理出来打
ok代理没问题

直接用wmiexec打失败了 估计是关闭了445端口 后面扫了下端口确实没开

加个-nooutput就直接通过135端口去执行无回显命令

运气不错:)
certutil看了下 没收到http请求 应该是也不出网
直接运行ps命令dns上线cs

成功上线web server

最后放张图

dns beacon太慢了太慢了 而且流量明显 还容易掉
重新补了一下图片 管理员帮忙删一下之前的那个帖吧
有师傅在这种网络环境下更好的打内网的方法可以交流交流 自评TCV=1


文章来源: https://www.t00ls.net/articles-63278.html
如有侵权请联系:admin#unsafe.sh