记录一下,分享自己遇到的坑

也是因为上班的时候和一个公司“结了怨”,本能的就想着看看他们的网站。

一开始就踩点呗!

目标:2kb.me

服务器:Windows server 2008

php:5.2.6

waf:没狗

收集了各种信息,包括飞鱼星路由(2kb.me:8082),几个数据库接口(2kb.me/phpmyadmin,2kb.me/myadmin(第二个sql管理),2kb.me:8088端口(一个自己写的数据库管理页面)) ps:哪里有那么多数据要处理的?

  1. 飞鱼星搜了一下可以爆出账号和加密之后的密码,但是不知道算法,网上也没有刚开过,所以只能尝试暴力破解猜猜弱口令无果。
  2. phpmyadmin这个页面是扫出来的,路径改了。同样尝试暴力破解,myadmin也一样。
  3. 8088端口的那个数据库管理页面也是。同时发现这个他们自己开发的8088端口可能是存在post注入,AWS报了,但是用sqlmap之后无果也就罢了。
  4. 找到2kb.me:8080的接口有一个反射型xss,在自己的XSS站里面配置好,测试可用之后,发了匿名邮件,然而也没有什么卵用。

可能是运气不好,跟字典针对性不强,所以爆破基本没成功过。

到这里,我连后台都还没找到。就暂时放下了。

峰回路转

直到看到坛子里面一个大佬为了吃鸡,为了用挂,去把卡盟搞了这篇文章,用牛逼的字典扫到了站的备份文件,直接下下来代码审计。我在这里也是佩服得五体投地。

只是这个帖子的亮点除了楼主的审计能力之外,就是那个厉害的字典。

峰回路转的我操上我的扫描器,加上那哥们公开的部分特征之后开始对目标扫描。

  • 这里的收获是找到了后台,然而也没有什么卵用。网站还存在列目录问题。直到扫描器出现一个2kb.me/upp的页面,打开一看,惊了

居然有这种好事?试了一下上传功能,结果出错(后来发现是Chrome浏览器的问题,上面也提示了),然后尝试着翻了一下文件,找到config.php,然后看到指向config.inc.php,果断打开找到链接数据库的密码,然后尝试登陆phpmyadmin和myadmin都成功了。

  • 在这里找到了加密的登陆密码,只是在各大md5破解都没成功,也是很蛋疼。

有了操作MySQL的权限之后,我用IE打开这里页面,又发现可以上传php文件,差点就准备在原本的文件里面插入了,但对php不熟悉,万一插坏了又出问题。这下就更好了

  • 上传php兴奋的用菜刀连接,文件是列出来了,但是蛋疼的执行命令的时候提示php可能启动了安全模式。果断去坛子里面搜了一下,有专门绕开安全模式的马,弄上去之后发现也无济于事。
  • 命令执行不行的话转了一圈只有用从来没试过的udf.dll提权了。但是在这里遇到几个坑,因为对sql命令和cmd命令的不熟悉,绕了几圈弯路。
  • 利用udf创建的函数里面执行命令,net user创建用户的时候没反应,net user guest /active:yes成功,也加了组,但是系统限制登录。弱口令登录administrator失败。
  • 在网上搜了Powershell的提权方式,但是执行命令的时候还是出错,因为对sql语句的不熟悉,在坛子里面问了,表哥些给的改良语句也提示语法不对。
  • 但是运行系统自带的命令没问题,除了创建用户,连把guest加管理组都成功了。结果tasklist了一圈也没看到什么熟悉的进程。

之前说只能用udf提权时创建的cmdshell函数来执行命令,执行系统自带的命令的时候没问题,命令如

select cmdshell('whoami')

net user 、net view、ipconfig、tasklist这些都可以。
听了一个表哥说的,把不认识的进程kill了之后,想起N年前那个时候asp还满大街都是,注入也还遍地都是的时候,在ASP大马里面执行命令有一个/C的参数,于是就尝试了下面这条命令

select cmdshell('F:\$RECYCLE.BIN\lmss.exe /c')

,就成功上线了。这里用的坛子里一个表哥破解的cobalt strike 3.8,因为都是试用版的破解版的,除了一个加密pyload的重要文件不在,其他的都还正常。

cobalt strike 3.8破解版点这里

后续

  • 绕过“提权”这个坑之后,还有几个坑,dumphash下来的密码破解出来登陆不对,mimikatz密码为空。
  • CS创建VPN失败,kali2.0和Windows10都失败。本来想着通过创建VPN方便点,直接ms1010搞一圈。

内网没有域控,就一个普通的内网,没有找到更可靠的密码,所以就又放着了。

 

aimorc

我还没有学会写个人说明!

Leave a Reply

Your email address will not be published. Required fields are marked *

微信扫一扫,分享到朋友圈

记录一下,分享自己遇到的坑
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close