水一篇实战


注入

打开站点,访问就需要登录。尝试sql注入,通过单引号闭合并未发现延时或报错等情况的发生,于是尝试输入反斜杠,网站成功报错。从报错中可以得到表名为userifo密码字段为psw。通过对username和psw进行构造得到如下payload

psw=and updatexml(1,concat((select concat(username,0x7e,psw) from userinfo limit 1)),1)#\&username=\

成功拿到admin的账号密码。

getshell

因为是dba权限本想直接上sqlmap --os-shell,结果不是堆叠注入。于是进后台找其他的注入点,可惜都没找到堆叠。尝试union写webshell结果没找到绝对路径。没思路的时候访问了一些其他默认的web端口,发现还有一个web服务,通过这个web服务的报错信息成功找到当前web的绝对路径并通过load_file确定不是站库分离最后成功写入webshell。需要注意的是哥斯拉和冰蝎在存在垃圾数据的情况下都无法正常使用,以及写入的webshell不能有换行,可以采用吐出webshell或者使用蚁剑等方法来绕过。

提权

当前webshell的站点是aspx的,权限极低,系统为win2008且打了200多个补丁,以前常用的提权exp都无法使用potato也没成功。想到原来的站是jsp的会不会java的权限高点,于是准备上传webshell到jsp的站点,结果发现压根没权限读tomcat。于是通过load_file盲猜jsp站点的根目录为D:/tomcat/webapps/root/,结果成功读到index.jsp。继续用mysql写入webshell,getshell后权限由机器用户转为了network的权限。其实mysql做了这么多事情,猜测mysql应该是system权限。于是用mysql写了一个txt到c盘的根目录发现能写入,然后就是通过jsp的webshell找到mysql的配置文件,然后udf提权。

内网

内网就算了吧,整个公网b段就是内网,内网的web基本都在公网。永恒之蓝一个也没有,密码也不通用也没发现规律。浏览器什么的也没密码,唯一有的就是保存了jsp站点开发商的ssh账号密码,这也不能去打开发商吧。内网目前发现的就几个ajp读文件的漏洞。打内网是个大工程。

声明:john'blog|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 水一篇实战


欢迎来到脚本小子的博客