1简介
一个风和日丽的下午,来了一个网站摸索了一下,感觉自己不行
2初次尝试
但是突然间就很想干这个网站
网站长这样,不要看他长这样,其实是一个菠菜网站。当时的想法是,支付漏洞、越权、SQL、注入、验证码、爆破,尝试了几个,(这里我需要总结一下,打网站,真的是需要很大的耐心去攻克,我每次都是瞄几眼,就放弃挣扎了,这里我队友很不服输的心态非常让我学习,一直重复的去干同一件事情,这个我是很敬佩他的,但是其他的所作所为就让我顶不住了)都无果,感觉自己哎又不行了,然后直接丢给队友了,欸嘿,我队友运气是真的好,爆破一下午出来了另外一个前台的账户admin111111
在这里,我将我感兴趣的功能都点了一遍,(这里日站是不能这样的,因为会丢失一些重要的机遇)
这里我看了一下余额看起来,还行,当时想提这个钱,想了想,会被抓,就放弃思考了
会员注册这里,我没有进行测试SQL注入,太懒了说实话,没有进行测试(如果这里有点的话,我可能会哭死)
这里就随便的进行输入数据
然后抓到数据包,复制粘贴为*.txt文件
这里听说sqlmap-l这个参数是将所以等号都会跑一遍,无果
这个就是用户信息,好像是没有什么可以利用的,除了手机号码,身份证、银行卡是我添加的
这个支付密码是可以爆破的,他是没有做校验的
这个我就演示了一下,理论是可以爆破的
然后我就,哎累了,不想打了,就隔了1天,因为在学爬虫,越学越菜,难受死了,我发现了一个文件上传
头像,上传记住这个就是转折点,也是我犯弱智的一个点
有时候安装的插件需要去利用,我没有判断他是什么语言的,但是我没有想到的是我一股脑的上传PHP的马,没有上传asp,特别是,我觉得我最傻逼的事情就是,我tm居然觉得他不走数据流量,我就说嘛,怎么可能
看这个图片,真的就是几天不玩,学了一下其他的语言,脑子退化了,我甚至没有去上传一张标准的图片
wc,真的是,我真的是服了我自己,为什么这么蠢,最简单的的,都不去尝试,我都炸了
最简单的文件上传,就是上传了正常的文件,然后在数据包修改,我呢???,我居然没有这一步
我就觉得这个不行了,不玩了,没有突破口了,然后我又闲了一天
3二次突破
在一个下着暴雨的中午,我在吃着饭,在看着哔哩哔哩的科普,一位同龄人找到了我,我那时候还在纠结这个网站的事情,为什么这么可能突破不上去,这个网站这么拉跨,越想越不对劲,我就发给他,让他看看,然后研究了一下,也是没有办法突破的,我就想起来,我之前和师傅讨论过这个怎么进行突破,fidder+burp,讲实话我不怎么会用这个工具,就觉得哎,工具学就完了,在去学一下这个工具然后在打这个网站,我就把我发现的文件上传的点的思路和js的文件发给他了,几分钟就穿了,我就被气死了,因为我没有测试对方式,说到底还是自己的实战经验不够,突破方式不会,思路不行,基础不牢
更离谱的是,我bp代理一直是错误的,导致我访问的时候,是一直访问不成功的,这里需要配置上游代理
然后就可以突破了,突破js(浏览器关闭js、删掉、数据包),删掉的话,程序可能容易出错,我不会js,所有我选择数据包突破,我们需要先通过前端的检测,再到数据包修改,突破简简单单,就是我前面脑子短路了,然后就上传成功了,这里我们就可与连接蚁剑
4连接
这里需要挂一下代理,要保护好自己
这里就连接成功了,但是只对当前目录有上传和下载权限
5小技巧
这里我有一个不明白的知识点,就是我上传的asp木马执行不了cmd,而上传aspx大马可以执行
这里我通过蚁剑上传大马,也可以通过其他的大马
这个大马执行不了,没关系,但是这个大马的其他功能非常的全面
老教父,这个是aspx的,其实个人觉得,搭配这2个大马挺不错的,可以看到老教父就是不一样,可以执行,可以执行就好办,我们就上传哥斯拉的shell进行连接
这里哥斯拉,我是原生态的,还不会魔改
上传到映射路径,然后我们进行连接即可,这里直接上烂土豆,经典,然后就成功了
这里我们可以看到他的站点是很多的
其实当时是想抓一下他的哈希的,但是没有抓出来
reg save HKLM\sam C:\sam.hive
reg save HKLM\system C:\system.hive
reg save HKLM\security C:\security.hive
reg save HKLM\sam C:\sam.hive
reg save HKLM\system C:\system.hive
reg save HKLM\security C:\security.hive
然后就用到猕猴桃了,猕猴桃也是梭哈,将3个文件导入猕猴桃目录
直接执行就行了,就能跑出来,然后就用NTLM解密就行了
.#####. mimikatz 2.2.0 (x64) #19041 Aug 10 2021 17:19:53
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /***Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ /## > https://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( [email protected] )
'#####' > https://pingcastle.com / https://mysmartlogon.com***/
mimikatz(commandline) # lsadump::sam /sam:sam.hive/system:system.hive
Domain : iZ1krn1l6svv3jZ
SysKey :002aac1f513e86a2207df0328918b4cc
Local SID :S-1-5-21-2686794449-823341633-3013141080
SAMKey :9360734ce7825278f91621fcc5722e5d
RID : 000001f4(500)
User : Administrator
Hash NTLM:2e26599e383ed56edb636928da8c82c3
RID : 000001f5(501)
User : Guest
RID : 000003f0 (1008)
User :xxx
Hash NTLM:58a478135a93ac3bf058a5ea0e8fdb71
mimikatz(commandline) #exit
Bye!
6取证
到后面就没有什么了,因为拿到了权限,但是想拿数据库,我创建的那个用户是没有历史记录的,为了不打草惊蛇,我还是摸了一下,但是后面(主要是因为我技术不到位)直接抢了别人administrator,这里就有点怕了,但是抢了以后,我还是研究了一会
这里的话,我是删除我的操作日志了,这里有他的数据库,然后我寻思能不能外联登录,在想一下,端口扫描有这个端口,我就创建了一个用户
可以看到这里的表还是很多的,资料也挺全的
随机抓来看一个,欸嘿,有点意思
这个就是部分的一张表,看他们的货币我是真的心动呀
这里的话,我是翻到他的管理员密码的,这里本来要去看一下他的源码是怎么加密的,但是我是没有去翻刚好去吃饭了,注意这里也是有意思的
我们看到他的用户名,可以尝试一下弱口令,但是用户名和密码一样的,这样也是很骚的操作,我是没想到
看起来今年没有操作的,都是去年的金额
太多就不放了,有个大概的了解就行
5关注
公众号长期更新安全类文章,关注公众号,以便下次轻松查阅