从sql注入到日下整个服务器

  1. 前言
  2. 过程

前言

在Zoomeye瞎几把搜后台,看看能不能碰到几个弱口令 ,扔到CNVD提交
e40Jm9.png

过程

打开IP一看,我草 棋牌登录
e40YwR.md.png

随便输入什么admin admin之类的,发现密码 不对
e40tT1.md.png

输入admin‘,发现没有回显错误
e40dfK.md.png

输入个万能密码发现又返回了错误
e40BlD.md.png

burp抓包扔sqlmap跑了一波,然后发现存在注入,盲注,mssql
e40ymd.md.png

确认是windows server 2008的系统

查询一下是不是dba权限,发现是
e402kt.md.png

那么当前用户肯定是sa用户了
e4041S.png

查询一下密码,发现回显出的更本不是密码…而是数据库的用户
e4070s.png

查询当前数据库,然后跑出了管理员密码
e40jpT.png

e40zX4.png

然后md5解不出,脱airen去CMD5掏了出明文
e4BpnJ.png

登进后台看了一下,坑人玩意啊
e4BC7R.png

然后找了一下后台功能,发现没的上传shell的地方
e4BQAI.png

寻思了一下,决定用后台密码猜一下是不是sa用户的密码,Boom!
e4BlNt.png

还真的连上了,我日,执行一波exec master.dbo.xp_cmdshell,发现sa用户被降权了
e4BRb9.md.png

查询了一波进程,发现并没有杀软
e4BfER.png

用户只有最初始的两个
e4B44x.png

管理员组没改名
e4BIC6.md.png

cs生成ps,用exec master.dbo.xp_cmdshell来执行获取会话
e4Bo8K.png

查询了一波补丁
e4BTgO.md.png

后面由于cs上传exp上传不成功,派会话到本机的msf,ngrok启动
e4BbKe.png

e4BqDH.png

cs的监听设置为ngrok的IP和端口
e4D9xS.png

e4DV5q.png

成功接收到会话
e4BLbd.md.png

使用模块查询了一波能提权利用的操作
e4DPKg.png

试了几个exp模块没成功,然后看到上次提权用的MS16-075,反手就试了一遍,然后提下来了
e4DFbj.png

e4DAVs.png

添加用户一系列操作
e4DeP0.png

e4DmGV.png

激活Guest用户用于做RID劫持
e4Dn2T.png

最后成功获取到管理员所有数据,控制整台服务器
e4DQr4.md.png

留下个后门走人
e4DlqJ.png


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:从sql注入到日下整个服务器

本文作者:九世

发布时间:2019-08-07, 02:10:37

最后更新:2019-08-07, 02:50:19

原始链接:http://422926799.github.io/posts/709141a4.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录