某站点的简单测试

要做有纯粹的事。

起因

闲来无事

信息收集

1
2
3
4
IP:x.100
端口:80 3389 1433
网站框架:win08+iis7.5+asp aspx
存在sql注入:mssql

攻击

丢到sqlmap跑,发现竟然是个sa注入。

--os-shell执行命令报错

1
2
3
[11:05:22] [CRITICAL] unable to prompt for an interactive operating system shell via the back-end DBMS because stacked queries SQL injection is not supported
[11:05:22] [WARNING] HTTP error codes detected during run:
500 (Internal Server Error) - 1 times

这里有两条路走

1
2
1.翻账密进后台getshell
2.手工开启xp_cmdshell

一、后台

在后台找到上传点

上传失败,提示:该账号没有权限上传,请联系管理员

明明拿的是管理员账号却没有上传权限,逗我呢?
后台没戏,功能点太少,唯独上传文件的点也被禁了。

二、手工

既然后台get不到shell,何不看看后台有没有注入点呢。经验一番的测试,存在注入点,于是手工开启xp_cmdshell(第一个前台注点也是可以开启的,但这里用的是后台注入点。)
看看mssql是否被降权:

OK,system权限
添加用户远程连接进去就差不多完事了,但连接时报错

登入失败,回头执行net user 用户名 查看添加进去的用户确实在Administrators组里,难道是站库分离结构?
于是ipconfig /all看下IP

噢嚯,显示不全,类似的, tasklist命令也看不全,换条命令试试

1
wmic.exe /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get *

查看系统是否安装了杀软,同样显示不全。
接下来,在不明确是否有杀软的环境下反弹一个msfshell回来,msf监听好端口然后利用bistadmin命令将免杀马丢上目标机运行

成功接受到shell,但是执行完第一条之后就被杀了。看了一下virustotal.com报告

百度杀软额外的亮眼、言归正传,马子被杀了,那就换一个,找了个免杀nc.dll反弹cmd

OK,看看到底是哪路杀软

微软MsMpEng.exe

信息收集

1
2
3
systeminfo -->Windows Serverr 2008 Standard x64 工作组
ipconfig -->x.101(公网)
tasklist --> MsMpEng.exe杀软

这样子就确定了站库分离结构,x.100网站 x.101数据库,难怪之前连接错误,然后远程链接x.101

简单的内网渗透

反弹个cs会话

dump管理员hash

代理访问内网,用msf里的模块,扫描内网信息

1
auxiliary/scanner/smb/smb_version


Ok 发现域,扫描该IP(x.222)也存在445的洞,于是用445的payload反弹个cs会话回来

收集该机子的信息

1
2
3
4
systeminfo -->Windows Serverr 2012 Standard x64
所在域:AD
ipconfig -->x.222(公网)
tasklist -->无杀软

既然在域里边,那就找找域管,找找域控

1
2
3
net group #查看组
net group "domain admins" /domain 查看域管理员
net group "Domain Controllers" /domain 查看域控

运气还不错,x.222这台就是域控机


查看目录中的机器名:dsquery computer

一共四台机子,既然拿到了域控,就dump哈希然后hash注入,让其余的机子上线cs

OK,整个过程到此结束,擦屁股走人~至于内网的深度这里就不再研究了。