实战 | Lower-GetShell

前言

本文章仅用于技术分享教学，若出现任何隐患烦请联系删除。

每个人都应该是网络安全的守护者。

以下漏洞详情皆已报送至教育行业漏洞报告平台。

Part.1 开始

人过留名，雁过留声

摸到一个系统，发现存在sql，仅仅用了后端的一些关键字过滤，摸了一会儿发现可以，字节拼接+空格绕过+LIKE绕过。后来还发现密码就是123456….

进入系统之后会发现，空白页面，查看源码会发现一个地址

空页面，后来发现用ie直接打开可以看

直接访问这个地址，就可以获取全校学生身份证 电话号码 学号 姓名（不好打码 没截图）

这边打码了

同时那个登录框直接上sqlmap跑用一些tamper脚本可以跑出来（忘记截图了），心大的管理员还特意为我开了一个xp_cmdshell，DBA权限，sa用户。直接命令执行

这张截图是后来SQL点给我搞崩了截的图 xp_cmdshell无法回弹了

可以命令执行，dnslog可以出网，同时查看了tasklist没有任何软杀（点名感谢心大管理员），cs生成64位的poweshell，cs直接上线。mimikatz 跑出来的都是空密码，但是无法登陆，可能是策略设置了禁止控制台空密码登录

添加个用户

添加到管理员组里（建议还是别这样做，动作太大了），再直接用cs开一个socks4的通道到服务器上，之后再用任意代理工具连接上socks4的通道就可以直接连接内网，同时根据之前ipconfig发现三张网卡 两张网卡没有配好都是169的，直接确定目标10.0.0.33，再次感谢管理员他还帮我开了3389。

wmic RDTOGGLE WHERE 
ServerName=”%COMPUTERNAME%” call SetAllowTSConnections 1

开socks4 代理连接 连接内网3389

利用添加的账号密码 成功登陆远程桌面

sa数据库密码得手，后续发现教务系统居然也部署在这边。阿巴阿巴阿巴…..