目標站點已經匿了 簡單說下已經得到的信息:
屬於黑產,遊戲 賭博之類的,而且還是個小站羣,一臺服務器上放了30多網站。 Sqlserver dba權限,不確定是否存在防護軟件,測試web無waf,畢竟不是誰都能買得起的 是吧。Win2008 沒有域環境,也不是站酷分離。
先來圖把 穩穩軍心,免得大家說全靠吹(不過也確實沒技術含量)
此時思路:
- 利用數據庫賬號密碼進入網站後臺getshell
- 利用xp_cmdshell 執行系統命令寫馬。
開幹了咯。 說實話兩種我都試過,原因呢因爲使用sqlmap –os-shell 之前還可以後來就不行了 不知道爲什麼。 順便拖了個庫 沒脫完(別誤會),下午看的時候只有5個庫,到了第二天就變了(挺刺激的哈)
一看就是彩票網 剛開始還沒反應上來
說實話hash破解了好久沒出來,遂放棄。
這裏推薦一篇lion大佬的文章,不用謝
https://klionsec.github.io/2017/04/26/use-hashcat-crack-hash/
然後晚上成功開啓xpcmdshell,本來應該寫馬的,不過一開始沒找到路徑,dir命令無回顯,不應該啊。Win Server 2005 下sqlserver還是system權限,但是到了win08就爲network service了。
爲了找的物理路徑,網上看了很多大佬的。說下個人覺得有用的
- Cmd下 tree 命令列出目錄結構,幫了我
- 利用for %i in 查找文件 遍歷目錄。
這裏執行了wget發現無效
遂找到了 windows遠程下載文件利用姿勢,真的是感謝前輩啊。
使用certutil.exe 下載我們的payload cs上線
這是在本地測試的
然後就上來了
本來打算彈到msf上 提權的,但是試了很久沒彈過來,於是就上了個蟻劍小馬 但是鏈接失敗,嘗試冰蠍(這裏要考慮免殺問題)
按理說接下來該是提權 遠程去連的,測試時發現管理員更改了端口,但小爺興趣變了 想要換打法
還想着能不能靠着這個 30多個站去都日一遍,後來覺得沒意思,遂放棄。
最後來張圖:
反思:
這次運氣算是比較好的了,管理若刪了xp_cmdshell組件,站酷分離,sqlserver被降權了 就不好搞了。
同時意識到自己對windows提權,sqlserver還有很多都還不懂,期待與各位滲透前輩一起學習。最後想說一句:編程真真真的很重要!!!
