安全矩阵

 找回密码
 立即注册
搜索
查看: 2317|回复: 0

实战 | Lower-GetShell

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-21 21:03:56 | 显示全部楼层 |阅读模式
原文链接:实战 | Lower-GetShell

人过留名,雁过留声

摸到一个系统,发现存在sql,仅仅用了后端的一些关键字过滤,摸了一会儿发现可以,字节拼接+空格绕过+LIKE绕过。后来还发现密码就是123456….

进入系统之后会发现,空白页面,查看源码会发现一个地址

空页面,后来发现用ie直接打开可以看 直接访问这个地址,就可以获取全校学生身份证 电话号码 学号 姓名(不好打码 没截图)

这边打码了 同时那个登录框直接上sqlmap跑用一些tamper脚本可以跑出来(忘记截图了),心大的管理员还特意为我开了一个xp_cmdshell,DBA权限,sa用户。直接命令执行


这张截图是后来SQL点给我搞崩了截的图 xp_cmdshell无法回弹了 可以命令执行,dnslog可以出网,同时查看了tasklist没有任何软杀(点名感谢心大管理员),cs生成64位的poweshell,cs直接上线。mimikatz 跑出来的都是空密码,但是无法登陆,可能是策略设置了禁止控制台空密码登录

添加个用户 添加到管理员组里(建议还是别这样做,动作太大了),再直接用cs开一个socks4的通道到服务器上,之后再用任意代理工具连接上socks4的通道就可以直接连接内网,同时根据之前ipconfig发现三张网卡 两张网卡没有配好都是169的,直接确定目标10.0.0.33,再次感谢管理员他还帮我开了3389。

wmic RDTOGGLE WHERE ServerName=”%COMPUTERNAME%”
call SetAllowTSConnections 1


开socks4 代理连接 连接内网3389 利用添加的账号密码 成功登陆远程桌面

sa数据库密码得手,后续发现教务系统居然也部署在这边。阿巴阿巴阿巴…..





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 21:44 , Processed in 0.016059 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表