某学院系统sql注入到服务器沦陷（bypss）

前语

前一段时刻都在挖edu src，为了混几个证书，中心陆陆续续也挖到好几枚体系的通杀吧，不过财物都不多，都是黑盒测试出来的，没啥技术含量。只需这次挖到的这枚通杀略微有那么一点点价值，从外网web一步步深化最终服务器提权，拿下整台服务器桌面权限。

本文触及相关实操：SQL注入原理与实践 本试验介绍了SQL注入原理，解释了简略判断一个参数是否存在注入的原理，能够使用简略的SQL注入获取其他敏感数据。

1.信息收集

日常广撒网挖通杀，惯例流程，上fofa搜索关键字，xx大学xx体系，xx大学xx渠道，一般便是这几个关键词，或者是直接搜body=”xx公司”，xx公司一定要是经常给学校做开发的，往往都是好几所学校用同一家公司的产品。然后就找到了这样一个体系

查了下归属，归属是某某学院，教育财物，通过各种语法，信息收集，找到大概十多所学校都在用这个体系，由于语法太多了，这儿随便搜了搜。

2.四处碰壁

正常的黑盒测试流程，看一下啥言语写的，ASP+IIS，很惯例的装备，edu一般除了jsp便是asp了，很少见到php站，iis的站，若后续有文件上传的点，能够测测iis解析缝隙，老版别的iis洞仍是挺多的。

既然是asp的站，那就上御剑，先来一顿目录爆炸，asp、aspx勾选上，80w的大字典开跑，

一杯茶的功夫，目录爆炸结束，果不其然，啥也没跑出来。

一般这种状况的话，能够换一换要跑目录，由于它整个体系或许架设在一个特定命名的目录下，这儿由于时刻关系，就没跑了。

既然目录爆炸不可，这体系翻开便是登录点，那就爆炸登陆点试一试，各种用户名都爆炸了一遍

仍是失利了，一个弱口令都没爆炸出来，学号，工号爆炸都试过了，没有一个成功的，目前为止，目录爆炸，暗码爆炸都走不通。

Sql注入，post注入，惯例操作，公然。。。。又是一片红，必定做了过滤，简略的fuzz了下sql语句饶了绕，仍是失利。

各种操作都来了一波，啥也没挖到，在挖edu的这段时刻里，经常遇到这种状况，都习惯了。

既然注入也没有，还有过滤，那就测测逻辑缝隙，右下角找回暗码，我可太喜爱找回暗码了，找回暗码处便是逻辑缝隙的高发地点，一打一个准，

点进去是这样一个页面，挺简陋，越是简陋，就越好打，果断输入答案，抓包。

没啥美观的，要是返回包里是json格式的话，那还有得玩。反正我遇上的逻辑缝隙，都是前端验证传回来的json参数，改json完成绕过。

3.山穷水尽（发现sql注入）

Sql注入，爆炸，弱口令，逻辑缝隙都试过了，都失利了，正准备抛弃的时分，我发现找回暗码的时分，他这个体系有个特点，只需你一输入要找回的账户然后再换行，本来它设置问题那一栏是空的，在你输入完账号再换行时，它问题那一栏主动就呈现了验证问题。

所以我推断，在用户输入完账号之后换行就触发了一个动作，这个动作会主动将用户输入的账号带入到后台，从后端获取这个账号的问题，然后再显示在前端，必定有数据交互的一个进程，既然有交互，那么这个点也或许存在注入的或许。

想到这儿，翻开burp，输入完账号之后不换行，切换至burp，抓包，然后再换行，触发动作，公然抓到了一个post包，请求内容正是账号

输入一个单引号，发现报错了,存在注入无疑了，这体系普通的登录点卡的死死的，仍是被找到注入了，只不过这个注入的位置太奇葩了，一般人遇上waf就抛弃了。

Sqlmap一把梭，发现是mssql，仍是dba权限，不必想了，mssql+dba权限=xp_cmdshell，都不必进后台了。--os-shell

4.bypass上线cs并提权

进程就不放图了，简略描绘一下，用的是certutil.exe -urlcache -split -f下载cs马，cs马在我的服务器上，刚开端下载文件的时分，报错，whoami一看，数据库权限，只读权限，没有写文件的权限，这可麻烦了

最终处理办法是，把cs马下载到mssqlserver用户的桌面目录下，其他途径没有履行下载的权限，在自己用户的桌面目录从有写文件的权限了吧？履行cs马，cs上线！

虽然拿到了shell，不过这个shell的权限实在太低了，dumphash报错，操作注册表就各种报错，反正啥操作的报错，由于权限太低

现在当务之急便是提权，先履行一下systeminfo、tasklist看看啥状况

Server 2012的机器，补丁实在打的有点多，吓人。Tasklist里也没发现有杀毒软件，估计是云waf

2012的机器内核缝隙算是最多的了，试了几个MS16-032/016,全打上补丁了，最终一个MS16-075,一把打穿，成功拿下system权限，2012的机器仍是好提。

Bypass长途桌面组获取桌面控制权

履行一下netstat -ano发现开了3389端口，net user发现一堆的用户，这儿就不放图了，否则篇幅实在太长了，简略的信息收集之后，开端办正事，方针是桌面控制，上神器Mimikatz，抓一抓明文暗码。这儿略微提一下，2021的机器是能够通过改注册表直接获取明文暗码的，一抓发现办理员上次是5.3登录的，没抓到暗码，只需hash

抓不到明文暗码，那就新建用户，net user admin 123456 /add 新建用户，新建了一个admin 暗码123456的用户。长途桌面连一下试试。

呈现报错：“衔接被拒绝，由于没有授权此用户帐户进行长途登录！认为就要成功了，这一个报错就像是当头一棒，找了找原因，是由于我新建的用户没有加入到长途桌面组，所以无法登录，

用net user把admin加入到长途桌面组之后，仍是报错，我又修正注册表把防火墙关了，RDP规则也放行了，无果..我猜或许是修正完装备之后要重启才会生效，我要是重启的话，这台服务器上的这套体系必定会瘫痪，重启是肯定不可取的。

在思想斗争了半响之后，我想到guest用户应该是默认就在长途桌面组的，我只需激活guest用户，那我就能够不重启就连3389了。

激活guest用户成功，暗码123456，长途衔接一下

一看到这个正在装备长途会话就知道稳了，3389成功上了桌面，guest权限，加了个隐藏账户，并手动加入到长途桌面组

5.RDP绑架失利

咱们的方针是administrator的桌面控制权，可是暗码抓不到，又不能重置administrator的暗码，怎样拿下它的桌面？

这儿我用了RDP绑架，上传一个psexec工具，然后获取一个system权限的cmd，由于只需system权限的指令行才干进行接收会话

首要query user检查会话ID（这儿的图是我写文章的时分截的，所以登录时刻是6-1）

然后再在system权限的指令行中履行tscon 2，发现失利，由于上次登录的时刻现已超越三天了，凭据过期，无法绑架会话

6.PTH进犯完成使用hash登录

最终通过pth进犯 hash传递进犯拿下了administrator的桌面权限，具体如下

mimikatz指令：

履行后弹出长途登录界面，选择衔接，成功完成无暗码登录administrator

桌面长这样，mssql数据库办理页面还没退出

结束

整理一下进程：

1.从外网信息收集

2.到发现sql注入

3.到绕过权限上马

4.再到低权限提权

5.最终通过pth完成无暗码登录administrator桌面。

整个进程没有什么技术含量，都是很基本的操作，可是能学到许多，求各位大师傅轻喷，我觉得从发现问题到处理问题是一个很享用的进程，还有，最终拿到了程序的源码，审计后又发现了一处注入和未授权进后台，由于篇幅问题就不说了。

缝隙现已打包提交至渠道，最终，网安学习这条路任重道远，希望自己能走下去，少一点花里胡哨，踏踏实实学东西才是最重要的，不能觉得自己学了点皮裘就四处炫耀，保持恰当的谦卑。