0x02 过程&&细节

2. 本能的用弱口令试一下，不出意料，失败~~~

3. 不死心，用burp测试一下top100，果不其然，再次失败~~~

4. 没办法，只能继续分析，通常这种状况下，我都会用burpsuit爬虫一下，找找数据交互的地方fuzzing一下，当然，首先后台这种类型站最明显的交互就是登录了。

很幸运的简单检测一下发现post请求中username字段是存在注入的，当逻辑为真的时候，回显:用户名或者密码错误,当逻辑为假时回显：账号不存在，报错回显。

真：userName=admin'AND 1=1 AND 't'='t&password=假：userName=admin'AND 1=1 AND 't'='k&password=

5. 当发现此处的注入，当然马上使用sqlmap来梭哈一下，把post请求包保存为txt，用sqlmap -r sql_pointer.txt --random-agent先试试水，果然发现一堆注入。

6. 再一看，竟然是Microsoft SQL Server 2014,心中有些小激动了，不会直接可以用xp_cmdshell直接getshell吧？

7. 说干就干，直接打开cs，先生成一个one-liner，复制一下链接。

8. 再用sqlmap跑一下，加个参数--os-shell尝试获取一个交互，获取之后再把one-liner链接执行。

9. 在静静等待几秒之后，cs上线成功！

10. 但是再看了一下，果不其然，也只是低权限的MSSQLSERVER，尝试了哈希转储和mimikatz，失败，本想查看远程文件，但是太慢了，等了几分钟也没刷出来dirvers，难道是网络太差？

11. 使用CS默认的提权，果不其然，失败。

12. 之后又尝试了烂土豆，bypassuac等等统统失败，心想老机子不该呀，而且进程列表也没法什么防护软件呀，终于用ms14-058成功提权，CS又获取到了一个system的session。

13. 接下来就顺利了，mimikazt赶紧跑起来，成功获取账户和明文密码，这波爽歪歪。

14. 之后再扫描一下端口，发现RDP端口设置在了高位：23389，再直接远程登录一下，果然发现了正在运行的赌博后台程序。

15. 找一下后台文件夹在哪里，顺便放了一只哥斯拉马，顺利连接上。

16. 继续翻一番配置文件：web.config,果然发现了数据库配置信息和一堆其他的配置信息。

17. 在哥斯拉中，用数据库账号密码本地链接一下试试，成功了，并找到了后台管理员账号密码，用nmap搜集信息的时候看了开放1433端口，貌似可以远程。

18. 在cmd5查一下明文密码，好像也是弱口令。

19. 获取到明文密码后，直接登录一下看看，发现只是个小站又或者测试站，测试信息不少，似乎也没什么人上当。

20. 搞完查了一下fofa，发现资产数量不少，应该是个比较流通的棋牌系统了，唉，骗子大行其道，可恶。

21. 清理一下登录信息，结束。

0x03 总结

关 注 有 礼