棋牌站人人得而诛之

chenqiang

原文链接：棋牌站人人得而诛之

​
0x01 前言

萌新，没发过帖子，看了Squirrels，newlifes，4nt**1130老哥的渗透帖子，也把自己的一次经历写成帖子以供大家参考。

0x02 过程&&细节

1. FoFa游荡时偶遇一棋牌后台，本着棋牌站人人得而诛之，搞一下。

​

编辑

2. 本能的用弱口令试一下，不出意料，失败~~~

​

编辑

3. 不死心，用burp测试一下top100，果不其然，再次失败~~~

​

编辑

4. 没办法，只能继续分析，通常这种状况下，我都会用burpsuit爬虫一下，找找数据交互的地方fuzzing一下，当然，首先后台这种类型站最明显的交互就是登录了。

很幸运的简单检测一下发现post请求中username字段是存在注入的，当逻辑为真的时候，回显:用户名或者密码错误,当逻辑为假时回显：账号不存在，报错回显。

1. <code>真：userName=admin'AND 1=1 AND 't'='t&password=</code><code>
   
2. 假：userName=admin'AND 1=1 AND 't'='k&password=</code>

复制代码

​

编辑

​

编辑

5. 当发现此处的注入，当然马上使用sqlmap来梭哈一下，把post请求包保存为txt，用sqlmap -r sql_pointer.txt --random-agent先试试水，果然发现一堆注入。

​

编辑

6. 再一看，竟然是Microsoft SQL Server 2014,心中有些小激动了，不会直接可以用xp_cmdshell直接getshell吧？

​

编辑

7. 说干就干，直接打开cs，先生成一个one-liner，复制一下链接。

​

编辑

8. 再用sqlmap跑一下，加个参数--os-shell尝试获取一个交互，获取之后再把one-liner链接执行。

​

编辑

9. 在静静等待几秒之后，cs上线成功！

​

编辑

10. 但是再看了一下，果不其然，也只是低权限的MSSQLSERVER，尝试了哈希转储和mimikatz，失败，本想查看远程文件，但是太慢了，等了几分钟也没刷出来dirvers，难道是网络太差？

​

编辑

​

编辑

11. 使用CS默认的提权，果不其然，失败。

​

编辑

12. 之后又尝试了烂土豆，bypassuac等等统统失败，心想老机子不该呀，而且进程列表也没法什么防护软件呀，终于用ms14-058成功提权，CS又获取到了一个system的session。

​

编辑

​

编辑

13. 接下来就顺利了，mimikazt赶紧跑起来，成功获取账户和明文密码，这波爽歪歪。

​

编辑

​

编辑

14. 之后再扫描一下端口，发现RDP端口设置在了高位：23389，再直接远程登录一下，果然发现了正在运行的赌博后台程序。

​

编辑

​

编辑

15. 找一下后台文件夹在哪里，顺便放了一只哥斯拉马，顺利连接上。

​

编辑

​

编辑

16. 继续翻一番配置文件：web.config,果然发现了数据库配置信息和一堆其他的配置信息。

​

编辑

17. 在哥斯拉中，用数据库账号密码本地链接一下试试，成功了，并找到了后台管理员账号密码，用nmap搜集信息的时候看了开放1433端口，貌似可以远程。

​

编辑

18. 在cmd5查一下明文密码，好像也是弱口令。

​

编辑

19. 获取到明文密码后，直接登录一下看看，发现只是个小站又或者测试站，测试信息不少，似乎也没什么人上当。

​

编辑

​

编辑

20. 搞完查了一下fofa，发现资产数量不少，应该是个比较流通的棋牌系统了，唉，骗子大行其道，可恶。

​

编辑

21. 清理一下登录信息，结束。

0x03 总结

本次渗透比较顺利，都是些简单通用的思路：信息搜集(爬虫，namp，js接口之类)-->sql注入点（突破点）-->cs上线-->提权（权限提升）-->mimikatz（凭证访问）-->信息再搜集利用等等。希望对大家有些许助益，谢谢观看。
​