前言前一段時間都在挖edu src�����,為了混幾個證書��,中間陸陸續(xù)續(xù)也挖到好幾枚系統(tǒng)的通殺吧����,不過資產(chǎn)都不多,都是黑盒測試出來的����,沒啥技術(shù)含量。只有這次挖到的這枚通殺稍微有那么一點(diǎn)點(diǎn)價值���,從外網(wǎng)web一步步深入最后服務(wù)器提權(quán)��,拿下整臺服務(wù)器桌面權(quán)限�����。 本文涉及相關(guān)實(shí)操:SQL注入原理與實(shí)踐本實(shí)驗介紹了SQL注入原理����,解釋了簡單判斷一個參數(shù)是否存在注入的原理,能夠利用簡單的SQL注入獲取其他敏感數(shù)據(jù)��。 1.信息搜集日常廣撒網(wǎng)挖通殺�,常規(guī)流程,上fofa搜索關(guān)鍵字����,xx大學(xué)xx系統(tǒng),xx大學(xué)xx平臺���,一般就是這幾個關(guān)鍵詞�,或者是直接搜body=”xx公司”����,xx公司一定要是經(jīng)常給學(xué)校做開發(fā)的��,往往都是好幾所學(xué)校用同一家公司的產(chǎn)品��。然后就找到了這樣一個系統(tǒng) 
查了下歸屬�,歸屬是某某學(xué)院��,教育資產(chǎn)���,通過各種語法,信息搜集�,找到大概十多所學(xué)校都在用這個系統(tǒng),因為語法太多了�,這里隨便搜了搜。 
2.四處碰壁 正常的黑盒測試流程���,看一下啥語言寫的�,ASP+IIS��,很常規(guī)的配置�����,edu一般除了jsp就是asp了��,很少見到php站�,iis的站,若后續(xù)有文件上傳的點(diǎn)�,可以測測iis解析漏洞,老版本的iis洞還是挺多的�����。 
既然是asp的站,那就上御劍�,先來一頓目錄爆破,asp��、aspx勾選上���,80w的大字典開跑��, 一杯茶的功夫���,目錄爆破完畢,果不其然��,啥也沒跑出來��。 
一般這種情況的話���,可以換一換要跑目錄,因為它整個系統(tǒng)可能架設(shè)在一個特定命名的目錄下�����,這里因為時間關(guān)系,就沒跑了�����。 既然目錄爆破不行��,這系統(tǒng)打開就是登錄點(diǎn)�����,那就爆破登陸點(diǎn)試一試�����,各種用戶名都爆破了一遍 
還是失敗了���,一個弱口令都沒爆破出來�,學(xué)號�����,工號爆破都試過了�,沒有一個成功的,目前為止�����,目錄爆破,密碼爆破都走不通�����。 Sql注入�,post注入,常規(guī)操作��,果然�。。�。。又是一片紅��,必然做了過濾�����,簡單的fuzz了下sql語句饒了繞�����,還是失敗。 
各種操作都來了一波���,啥也沒挖到,在挖edu的這段時間里����,經(jīng)常遇到這種情況,都習(xí)慣了����。 既然注入也沒有,還有過濾�,那就測測邏輯漏洞,右下角找回密碼�����,我可太喜歡找回密碼了�����,找回密碼處就是邏輯漏洞的高發(fā)地點(diǎn)�,一打一個準(zhǔn), 
點(diǎn)進(jìn)去是這樣一個頁面�,挺簡陋,越是簡陋,就越好打��,果斷輸入答案�����,抓包��。 
沒啥好看的��,要是返回包里是json格式的話�����,那還有得玩���。反正我遇上的邏輯漏洞��,都是前端驗證傳回來的json參數(shù)����,改json實(shí)現(xiàn)繞過����。 3.柳暗花明(發(fā)現(xiàn)sql注入)Sql注入,爆破,弱口令����,邏輯漏洞都試過了,都失敗了��,正準(zhǔn)備放棄的時候�����,我發(fā)現(xiàn)找回密碼的時候����,他這個系統(tǒng)有個特點(diǎn)�,只要你一輸入要找回的賬戶然后再換行,本來它設(shè)置問題那一欄是空的��,在你輸入完賬號再換行時��,它問題那一欄自動就出現(xiàn)了驗證問題�。 
所以我推斷,在用戶輸入完賬號之后換行就觸發(fā)了一個動作����,這個動作會自動將用戶輸入的賬號帶入到后臺,從后端獲取這個賬號的問題,然后再顯示在前端��,必然有數(shù)據(jù)交互的一個過程��,既然有交互��,那么這個點(diǎn)也可能存在注入的可能�����。 想到這里�,打開burp,輸入完賬號之后不換行�,切換至burp,抓包���,然后再換行��,觸發(fā)動作�,果然抓到了一個post包�����,請求內(nèi)容正是賬號 
輸入一個單引號���,發(fā)現(xiàn)報錯了,存在注入無疑了��,這系統(tǒng)普通的登錄點(diǎn)卡的死死的��,還是被找到注入了���,只不過這個注入的位置太奇葩了��,一般人遇上waf就放棄了。
Sqlmap一把梭�,發(fā)現(xiàn)是mssql,還是dba權(quán)限��,不用想了�,mssql+dba權(quán)限=xp_cmdshell,都不用進(jìn)后臺了��。--os-shell
4.bypass上線cs并提權(quán)過程就不放圖了��,簡單描述一下��,用的是certutil.exe -urlcache -split -f下載cs馬��,cs馬在我的服務(wù)器上�����,剛開始下載文件的時候,報錯�,whoami一看,數(shù)據(jù)庫權(quán)限�,只讀權(quán)限,沒有寫文件的權(quán)限��,這可麻煩了 最后解決辦法是�,把cs馬下載到mssqlserver用戶的桌面目錄下,其他路徑?jīng)]有執(zhí)行下載的權(quán)限��,在自己用戶的桌面目錄從有寫文件的權(quán)限了吧��?執(zhí)行cs馬�,cs上線!
雖然拿到了shell�,不過這個shell的權(quán)限實(shí)在太低了,dumphash報錯�,操作注冊表就各種報錯,反正啥操作的報錯���,因為權(quán)限太低
如今當(dāng)務(wù)之急就是提權(quán)�,先執(zhí)行一下systeminfo��、tasklist看看啥情況
Server 2012的機(jī)器,補(bǔ)丁實(shí)在打的有點(diǎn)多�,嚇人。Tasklist里也沒發(fā)現(xiàn)有殺毒軟件��,估計是云waf 2012的機(jī)器內(nèi)核漏洞算是最多的了����,來來回回試了幾個MS16-032/016,全打上補(bǔ)丁了,最后一個MS16-075,一把打穿���,成功拿下system權(quán)限��,2012的機(jī)器還是好提。
Bypass遠(yuǎn)程桌面組獲取桌面控制權(quán)執(zhí)行一下netstat -ano發(fā)現(xiàn)開了3389端口�,net user發(fā)現(xiàn)一堆的用戶,這里就不放圖了�,不然篇幅實(shí)在太長了,簡單的信息搜集之后�,開始辦正事,目標(biāo)是桌面控制�,上神器Mimikatz,抓一抓明文密碼���。這里稍微提一下����,2021的機(jī)器是可以通過改注冊表直接獲取明文密碼的,一抓發(fā)現(xiàn)管理員上次是5.3登錄的���,沒抓到密碼���,只有hash
抓不到明文密碼,那就新建用戶�,net user admin 123456 /add 新建用戶,新建了一個admin 密碼123456的用戶�����。遠(yuǎn)程桌面連一下試試��。
出現(xiàn)報錯:“連接被拒絕�,因為沒有授權(quán)此用戶帳戶進(jìn)行遠(yuǎn)程登錄!以為就要成功了�,這一個報錯就像是當(dāng)頭一棒,找了找原因��,是因為我新建的用戶沒有加入到遠(yuǎn)程桌面組����,所以無法登錄�����,
用net user把a(bǔ)dmin加入到遠(yuǎn)程桌面組之后��,還是報錯���,我又修改注冊表把防火墻關(guān)了,RDP規(guī)矩也放行了��,無果..我猜可能是修改完配置之后要重啟才會生效�,我要是重啟的話,這臺服務(wù)器上的這套系統(tǒng)必然會癱瘓�,重啟是肯定不可取的。 在思想斗爭了半天之后���,我想到guest用戶應(yīng)該是默認(rèn)就在遠(yuǎn)程桌面組的,我只要激活guest用戶���,那我就可以不重啟就連3389了�。 激活guest用戶成功�,密碼123456,遠(yuǎn)程連接一下 一看到這個正在配置遠(yuǎn)程會話就知道穩(wěn)了�,3389成功上了桌面�,guest權(quán)限�,加了個隱藏賬戶,并手動加入到遠(yuǎn)程桌面組
5.RDP劫持失敗我們的目標(biāo)是administrator的桌面控制權(quán)����,但是密碼抓不到,又不能重置administrator的密碼�,怎么拿下它的桌面? 這里我用了RDP劫持��,上傳一個psexec工具��,然后獲取一個system權(quán)限的cmd��,因為只有system權(quán)限的命令行才能進(jìn)行接管會話
首先query user查看會話ID(這里的圖是我寫文章的時候截的�,所以登錄時間是6-1)
然后再在system權(quán)限的命令行中執(zhí)行tscon 2,發(fā)現(xiàn)失敗���,因為上次登錄的時間已經(jīng)超過三天了�,憑證過期�����,無法劫持會話 6.PTH攻擊實(shí)現(xiàn)利用hash登錄最后通過pth攻擊 hash傳遞攻擊拿下了administrator的桌面權(quán)限,具體如下 mimikatz命令: 執(zhí)行后彈出遠(yuǎn)程登錄界面����,選擇連接,成功實(shí)現(xiàn)無密碼登錄administrator 桌面長這樣����,mssql數(shù)據(jù)庫管理頁面還沒退出
結(jié)尾梳理一下過程:1.從外網(wǎng)信息搜集—2.到發(fā)現(xiàn)sql注入—3.到繞過權(quán)限上馬—4.再到低權(quán)限提權(quán)—5.最后通過pth實(shí)現(xiàn)無密碼登錄administrator桌面,整個過程沒有什么技術(shù)含量�,都是很基本的操作,但是能學(xué)到很多�,求各位大師傅輕噴,我覺得從發(fā)現(xiàn)問題到解決問題是一個很享受的過程����,還有,最后拿到了程序的源碼��,審計后又發(fā)現(xiàn)了一處注入和未授權(quán)進(jìn)后臺�����,因為篇幅問題就不說了��,漏洞已經(jīng)打包提交至平臺��,最后��,網(wǎng)安學(xué)習(xí)這條路任重道遠(yuǎn)�,希望自己能走下去,少一點(diǎn)花里胡哨��,踏踏實(shí)實(shí)學(xué)東西才是最重要的��,不能覺得自己學(xué)了點(diǎn)皮毛就四處炫耀�,保持適當(dāng)?shù)闹t卑
|
