在某次HW行動(dòng)中對(duì)一個(gè)學(xué)校的資產(chǎn)進(jìn)行滲透測(cè)試�����。在其一個(gè)智慧校園管理系統(tǒng)發(fā)現(xiàn)了一處sql注入�。
可以看到可以選擇以什么身份登陸,而且選擇學(xué)生登陸的時(shí)候���,還可以選擇年級(jí)�����。
抓包看下是否存在數(shù)據(jù)庫(kù)交互:
可以看到���,會(huì)去服務(wù)器請(qǐng)求對(duì)應(yīng)年級(jí)的數(shù)據(jù),嘗試添加單引號(hào)����,出現(xiàn)報(bào)錯(cuò)���,證實(shí)存在sql注入。
因?yàn)榫W(wǎng)站沒有waf�����,所以直接拿sqlmap跑:
可以跑出管理員的賬號(hào)�,并且拿到了os-shell�����。
因?yàn)閛s-shell不方便�����,所以想彈個(gè)cs的shell或者上個(gè)webshell��。但是當(dāng)時(shí)局限于直接在web目錄寫shell����,還有powershell反彈shell,前者不知道web絕對(duì)路徑(嘗試過在os-shell中利用dir命令來尋找web目錄,但是他的目錄是中文的�����,os-shell一直出錯(cuò)),后者被殺毒軟件阻止��。
當(dāng)時(shí)沒有想到利用bitsadmin等系統(tǒng)工具來下載木馬執(zhí)行��,所以想著利用管理員賬號(hào)進(jìn)行網(wǎng)站后臺(tái)看看���。
在后臺(tái)發(fā)現(xiàn)了一處文件上傳
嘗試上傳aspx(簡(jiǎn)單的前端檢測(cè)繞過)�。
返回500��,但是文件卻成功上傳到了服務(wù)器�。
訪問aspx文件,出現(xiàn)403錯(cuò)誤
應(yīng)該是iis限制了目錄文件的權(quán)限��。這里有兩種辦法�����,一種是上傳web.config文件來增加文件的執(zhí)行權(quán)限����,一種是嘗試進(jìn)行路徑穿越。
這里選擇上傳web.config文件
再次訪問�����,出現(xiàn)未編譯錯(cuò)誤
大概是因?yàn)檎自创a都是已經(jīng)預(yù)編譯好的,無法直接使用ASPX腳本�。
嘗試上傳asp文件,成功解析:
附:web.config實(shí)戰(zhàn)用法
接著上傳asp webshell,用蟻劍連接:
查看一下權(quán)限:
接下來想彈shell到cs進(jìn)行提權(quán)和進(jìn)一步橫向�����。
tasklist看下有沒有殺軟:
有賽門鐵克會(huì)檢測(cè)流量��,所以得繞下流量檢測(cè)���。可以利用合法證書來加密cs的流量��。
ssl證書的話可以自己申請(qǐng)��,也可以利用keytools偽造��。申請(qǐng)完證書之后用openssl生成 keystore
openssl pkcs12 -export -in fullchain.pem -inkey key.pem -out stao.p12 -name stao.site -passout pass:mypass
keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore stao.store -srckeystore stao.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias stao.site
這里我還替換了cs的profile,c2 profile可以用來控制Beacon payload的行為,直接用了github現(xiàn)成的�����。
https://github.com/threatexpress/malleable-c2/blob/master/jquery-c2.4.0.profile
其他可以默認(rèn)��,但是要改一下其中ssl修改證書的配置���,指定為我們剛剛生成的證書�。
修改好profile之后,運(yùn)行./c2lint2 xxx.profile檢測(cè)一下�。
沒問題就可以運(yùn)行cs服務(wù)器,并指定profile
nohup ./teamserver x.x.x.x password c2.profile &
啟動(dòng)客戶端連接服務(wù)器�����,然后添加一個(gè)listeners�,選擇https的beacon
然后生成C#的payload,利用AVlator進(jìn)行一下簡(jiǎn)單的免殺處理
將生成的exe利用蟻劍上傳到服務(wù)器并執(zhí)行,成功反彈shell�。
接下來進(jìn)行提權(quán),systeminfo看下補(bǔ)丁�。
可以利用https://bugs.hacking8.com/tiquan/進(jìn)行補(bǔ)丁的對(duì)比
嘗試下ms16-075,成功提權(quán)。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
