• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

近期对博彩网站的一次渗透测试丨关联入侵BC


This Wind

Recommended Posts

很多人问我你日站是用手工还是工具扫?我觉得两者同时进行效率会高些,所谓双管齐下,无站不破,当然还得看人品。

前段时间经常日有颜色的站,懂得都懂,emmm哈哈哈,但都是套路,跟bc又密不可分。

于是就按着套路顺利打开下面这个站:

57d2cae8-e55d-4d52-a30d-886384b7d21a.png

刚好正是中午的时候,准备恰饭去,先将这个站丢到某W某S里面,如果有东西就直接捡现成的,于是:

(ps:不得不承认我长得帅!)

518be0fe-6768-4ccf-b4b2-2fb4666c7882.png

懂的都懂

7ef5b476-16d1-4a81-a6bc-5eca049f5d4e.png

8272c032-0e2d-40cc-9096-2b3d8fc04d97.png

猜测估计是xp_cmdshell禁用或者删除

当前权限又是dba,而且支持堆叠可以执行update ,insert,等

于是就准备开启xp_cmdshell

5b5aa046-65bd-46ee-886a-9ccfa8d7a937.png

79dabbc7-d5f7-41f3-aca4-7de7cefc1995.png

再次osshell看xp_cmdshell是否开启成功。然儿….

5b876cd9-dd68-41e4-9830-233a0ffdf643.png

一脸懵逼,于是来到burp,如果xp_cmdshell启用返回时间应该是>=5,然儿只有1秒多钟,

证明没有开启成功。

8ab9f5b4-1220-4d56-9fac-513acbcb0b2e.png

利用burp再次开启xp_cmdshell,然儿好像还是不得行

8cb341b5-6b63-4fa4-929a-fd0e5dc32d86.png

e29d7a0d-17cd-4855-afbf-b8393ea97ac9.png

Xp_cmdshell哪里=0呢看看语句是不是有毛病

看返回时间是没毛病的,在这里就纳闷了…

99bdf7de-5211-4d03-bc79-83479d504708.png

在此期间尝试了很多 ,包括沙箱等等burp跟sqlmap都尝试过,

参考文章:https://blog.csdn.net/sircoding/article/details/78681016

后面还考虑过了站库分离的情况,burp构造发包,发现不是。

想到写shell

必须满足:

1.网站绝对路径

2.目录写权限

3.数据库是Dba

但没有站点绝对路径,那岂不是要凉凉。

5621c456-7010-4b50-9b51-10365528f7cf.png

鼓捣了好一会儿,找到该站点真实ip,从旁站入手了,万一·····,一般bc旁站一般也是bc

只能抱着试一试心态去,果不其然,也是bc,但感觉模板是一样的,同样的注入点,再次用sqlmap来梭哈,奇迹出现了哇哈哈哈:(ps:之前的注入点也尝试过l联合,没幼结果):

def2c6bd-1bc2-4203-b2d1-cf8c9ed7cdf4.png

c9bb7458-8493-42ae-a3bd-488f2d9bf326.png

终于能执行命令了

09431326-10e0-4e85-a7ba-5cf106c77373.png

接下来就是cs上线,提权,不是特殊目标,不上桌面的黑客不是好黑客,哈哈哈哈哈

3bd8ee1a-ab9d-4b3c-b215-a5960871fe2d.png

Sqlserver被降权,利用ms16-032提权,或者其他权限提升机器未安装的补丁进行提权

System

cc4e3cda-451b-4c8c-9d1e-04bcaf47d753.png

利用mimikatz dump账号密码

5cdeae6f-c0db-46b5-a095-7e2b2f88e5bf.png

没有明文,可以利用mimikatz传递ntml,感觉不得行

sekurlsa::pth /user:Administrator /domain:WORKGROUP /ntlm:206ca710d5b82f1c988b301808d1016e/run:powershell.exe

69b0b1e2-b2db-4e76-b68d-f6df6e0b5307.png

然而好像不得行,算了直接加帐号吧,也不想折腾了。

442f09c6-38a4-4fae-80ae-884a8f730a13.png

登录远程终端

看了浏览器的历史记录

c757b215-f531-46b2-b688-8338b4f3109e.png

顺其自然的登录后台:

开始以为这个后台是另外一台服务器,结果看了iis还有域名解析才发现是当前机器。。。有点小失望emmm

caf292f1-1c34-41ae-84ae-b65938d9dddc.png

cc5614f8-4824-4141-b2ae-830fe160a538.png

e635a35f-16f3-4c26-ad50-9f2051ffdf8f.png

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now