实战 | 对某bc站的一次渗透

luozhenni

​
实战 | 对某bc站的一次渗透
原文链接：实战 | 对某bc站的一次渗透
2654470642 潇湘信安 [url=]潇湘信安[/url] 2022-12-02 08:30 发表于湖南

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。                         请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源：90sec安全社区（2654470642）
原文地址：https://forum.90sec.com/t/topic/876

---

很多人问我你日站是用手工还是工具扫？我觉得两者同时进行效率会高些，所谓双管齐下，无站不破，当然还得看人品。

前段时间经常日有颜色的站，懂得都懂，emmm哈哈哈，但都是套路，跟bc又密不可分。

于是就按着套路顺利打开下面这个站：

​

编辑

刚好正是中午的时候，准备恰饭去，先将这个站丢到某W某S里面，如果有东西就直接捡现成的，于是：(ps: 不得不承认我长得帅！)

​

编辑

懂的都懂

​

编辑

​

编辑

猜测估计是xp_cmdshell禁用或者删除，当前权限又是dba，而且支持堆叠可以执行update、insert等，于是就准备开启xp_cmdshell

​

编辑

​

编辑

再次osshell看xp_cmdshell是否开启成功。然儿….

​

编辑

不甘心，于是来到burp，如果xp_cmdshell启用返回时间应该是>=5,然儿只有1秒多钟，证明没有开启成功。

​

编辑

于是，利用burp再次开启xp_cmdshell,然儿好像还是不得行

​

编辑

​

编辑

Xp_cmdshell哪里=0呢？看看语句是不是有毛病，看返回时间是没毛病的，在这里就纳闷了….

​

编辑

在此期间尝试了很多 ，包括沙箱等等burp跟sqlmap都尝试过，后面还考虑过了站库分离的情况，burp构造发包，发现不是。

想到写shell，必须满足以下几个条件：
1.网站绝对路径2.目录写权限3.数据库是Dba
但没有站点绝对路径，那岂不是要凉凉。

​

编辑

鼓捣了好一会儿，找到该站点真实ip，从旁站入手了，万一·····，一般bc旁站也是bc。

只能抱着试一试心态去，果不其然，也是bc，但感觉模板是一样的，同样的注入点，再次用sqlmap来梭哈，奇迹出现了哇哈哈哈：（ps：之前的注入点也尝试过union，没有结果）：

​

编辑

​

编辑

终于能执行命令了

​

编辑

接下来就是cs上线，提权，不是特殊目标，不上桌面的黑客不是好黑客

​

编辑

Sqlserver被降权，利用ms16-032提权，或者其他权限提升机器未安装的补丁进行提权System

​

编辑

利用mimikatz dump账号密码

​

编辑

没有明文，可以利用mimikatz传递ntml，感觉不得行，成功率低。

命令：
sekurlsa::pth /user:Administrator /domain:WORKGROUP /ntlm:206ca710d5b82f1c988b301808d1016e/run:powershell.exe

​

编辑

然而好像不得行，算了直接加帐号吧

​

编辑

登录远程终端，看了浏览器的历史记录

​

编辑

顺其自然的登录后台：开始以为这个后台是另外一台服务器，结果看了iis还有域名解析才发现是当前机器。。。有点小失望emmm

​

编辑

​

编辑

​