棋牌站人人得而诛之

Delina

原文链接：棋牌站人人得而诛之
​
前言萌新，没发过帖子，看了Squirrels，newlifes，4nt**1130老哥的渗透帖子，也把自己的一次经历写成帖子以供大家参考。
过程&&细节1.FoFa游荡时偶遇一棋牌后台，本着棋牌站人人得而诛之，搞一下。

​

2.本能的用弱口令试一下，不出意料，失败~~~

​

3.不死心，用burp测试一下top100，果不其然，再次失败~~~

​

4.没办法，只能继续分析分析，通常这种状况下，我都会用burpsuit爬虫一下，找找数据交互的地方fuzzing一下，当然，首先后台这种类型站最明显的交互就是登录了，很幸运的简单检测一下发现post请求中username字段是存在注入的，当逻辑为真的时候，回显:用户名或者密码错误,当逻辑为假时回显：账号不存在，经典的报错回显。
真：userName=admin'AND 1=1 AND 't'='t&password=假：userName=admin'AND 1=1 AND 't'='k&password=

​

​

5.当发现此处的注入，当然马上使用sqlmap来梭哈一下，把post请求包保存为txt，用sqlmap -r sql_pointer.txt --random-agent先试试水，果然发现一堆注入。

​

6.再一看，竟然是Microsoft SQL Server 2014,心中有些小激动了，不会直接可以用xp_cmdshell直接getshell吧？
​
7.说干就干，直接打开cs，先生成一个one-liner，复制一下链接。

​

8.再用sqlmap跑一下，加个参数--os-shell尝试获取一个交互，获取之后再把one-liner链接执行。

​

9.在静静等待几秒之后，cs上线成功！

​

10.但是再看了一下，果不其然，也只是低权限的MSSQLSERVER，尝试了哈希转储和mimikatz，失败，本想查看远程文件，但是太慢了，等了几分钟也没刷出来dirvers，难道是网络太差？

​

11.使用CS默认的提权，果不其然，失败。

​

12.之后又尝试了烂土豆，bypassuac等等统统失败，心想老机子不该呀，而且进程列表也没法什么防护软件呀，终于用ms14-058成功提权，CS又获取到了一个system的session。

​

​

13.接下来就顺利了，mimikazt赶紧跑起来，成功获取账户和明文密码，这波爽歪歪。

​

​

14.之后再扫描一下端口，发现RDP端口设置在了高位：23389，再直接远程登录一下，果然发现了正在运行的赌博后台程序。

​

​​

​

15.找一下后台文件夹在哪里，顺便放了一只哥斯拉马，顺利连接上。

​

​
16.继续翻一番配置文件：web.config,果然发现了数据库配置信息和一堆其他的配置信息。

​

17.在哥斯拉中，用数据库账号密码本地链接一下试试，成功了，并找到了后台管理员账号密码，用nmap搜集信息的时候看了开放1433端口，貌似可以远程。

​

18.在cmd5查一下明文密码，好像也是弱口令。

​

19.获取到明文密码后，直接登录一下看看，发现只是个小站又或者测试站，测试信息不少，似乎也没什么人上当。

​

​
20.搞完查了一下fofa，发现资产数量不少，应该是个比较流通的棋牌系统了，唉，骗子大行其道，可恶。

​

21.清理一下登录信息，结束。
总结本次渗透比较顺利，都是些简单通用的思路：信息搜集(爬虫，namp，js接口之类)-->sql注入点（突破点）-->cs上线-->提权（权限提升）-->mimikatz（凭证访问）-->信息再搜集利用等等。希望对大家有些许助益，谢谢观看。
​