实战 | Lower-GetShell

gclome

原文链接：实战 | Lower-GetShell

人过留名，雁过留声

摸到一个系统，发现存在sql，仅仅用了后端的一些关键字过滤，摸了一会儿发现可以，字节拼接+空格绕过+LIKE绕过。后来还发现密码就是123456….
​
进入系统之后会发现，空白页面，查看源码会发现一个地址
​
空页面，后来发现用ie直接打开可以看 直接访问这个地址，就可以获取全校学生身份证 电话号码 学号 姓名（不好打码 没截图）
​
这边打码了 同时那个登录框直接上sqlmap跑用一些tamper脚本可以跑出来（忘记截图了），心大的管理员还特意为我开了一个xp_cmdshell，DBA权限，sa用户。直接命令执行

​
这张截图是后来SQL点给我搞崩了截的图 xp_cmdshell无法回弹了 可以命令执行，dnslog可以出网，同时查看了tasklist没有任何软杀（点名感谢心大管理员），cs生成64位的poweshell，cs直接上线。mimikatz 跑出来的都是空密码，但是无法登陆，可能是策略设置了禁止控制台空密码登录
​
添加个用户 添加到管理员组里（建议还是别这样做，动作太大了），再直接用cs开一个socks4的通道到服务器上，之后再用任意代理工具连接上socks4的通道就可以直接连接内网，同时根据之前ipconfig发现三张网卡 两张网卡没有配好都是169的，直接确定目标10.0.0.33，再次感谢管理员他还帮我开了3389。

wmic RDTOGGLE WHERE ServerName=”%COMPUTERNAME%”
call SetAllowTSConnections 1

​
开socks4 代理连接 连接内网3389 利用添加的账号密码 成功登陆远程桌面
​
sa数据库密码得手，后续发现教务系统居然也部署在这边。阿巴阿巴阿巴…..
​
​