您的位置 首页 网络安全

记Lower-GetShell

人过留名,雁过留声 摸到一个系统,发现存在sql,仅仅用了后端的一些关键字过滤,摸了一会儿发现可以,字节拼接+…

人过留名,雁过留声

摸到一个系统,发现存在sql,仅仅用了后端的一些关键字过滤,摸了一会儿发现可以,字节拼接+空格绕过+LIKE绕过。后来还发现密码就是123456….

进入系统之后会发现,空白页面,查看源码会发现一个地址

空页面,后来发现用ie直接打开可以看

直接访问这个地址,就可以获取全校学生身份证 电话号码 学号 姓名(不好打码 没截图)

这边打码了

同时那个登录框直接上sqlmap跑用一些tamper脚本可以跑出来(忘记截图了),心大的管理员还特意为我开了一个xp_cmdshell,DBA权限,sa用户。直接命令执行

这张截图是后来SQL点给我搞崩了截的图 xp_cmdshell无法回弹了

可以命令执行,dnslog可以出网,同时查看了tasklist没有任何软杀(点名感谢心大管理员),cs生成64位的poweshell,cs直接上线。mimikatz 跑出来的都是空密码,但是无法登陆,可能是策略设置了禁止控制台空密码登录

添加个用户

添加到管理员组里(建议还是别这样做,动作太大了),再直接用cs开一个socks4的通道到服务器上,之后再用任意代理工具连接上socks4的通道就可以直接连接内网,同时根据之前ipconfig发现三张网卡 两张网卡没有配好都是169的,直接确定目标10.0.0.33,再次感谢管理员他还帮我开了3389。wmic RDTOGGLE WHERE ServerName=”%COMPUTERNAME%” call SetAllowTSConnections 1

开socks4 代理连接 连接内网3389

利用添加的账号密码 成功登陆远程桌面

sa数据库密码得手,后续发现教务系统居然也部署在这边。阿巴阿巴阿巴…..

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/1251/

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...

评论列表(1)

联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部