记一次站库分离注入到拿下web server
以下测试均在获得授权后进行 漏洞已报送给负责人 网站已经下线
在一次测试中遇到了一个mssql的注入点
开启xp_cmdshell之后执行命令为system权限
当我准备先上一个shell的时候发现web盘符不存在
然后netstat看了下网络链接
判断为站库分离
202.xxx.xxx.133:1433 202.xxx.xxx.135:xxxx
然后看了下是不出网的
但是dns可以出网
没有杀软直接准备使用dns beacon上线cs
linux停用dns服务 systemctl stop systemd-resolved
然后在上线木马的时候被卡住了
这里不能直接在xpcmdshell输入powershell命令上线木马 可能是太长了的原因导致出错
考虑落地木马 想起y4神的之前的这篇文章https://y4er.com/post/certutil-powershell-write-file/
但是这里的单双引号和|导致执行sql报错
查了一下和y4那个方法一样的但是不用管道符的powershell写法
powershell -c "add-content C:\1.bat -value \"test\""
powershell "-join((gc -LiteralPath \"c:\1.bat\"))"配合burp成功落地木马
将其写到新的bat里面然后运行静待上线powershell "-join((gc -LiteralPath \"c:\1.bat\"))">c:\2.bat
进入beacon后输入checkin强制回连主机mode dns-txt使传输数据更多
收集了下信息 发现为工作组环境 无域
随后发现为系统为2012抓不到明文 先dump下hash
hash无法解密 然后去查了下sa的hash 也解不出来 收集了一下密码文件 感觉作用都不是很大
但是直接运气爆棚 直接用这个hash去wmi横向 搭个socks代理出来打
ok代理没问题
直接用wmiexec打失败了 估计是关闭了445端口 后面扫了下端口确实没开
加个-nooutput就直接通过135端口去执行命令 但无回显
运气不错:)
certutil看了下 没收到http请求 应该是也不出网
直接运行ps命令dns上线cs
成功上线web server
dns beacon太慢了 而且流量明显 还容易掉 以后试试dnstunnel