![图片[1]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305037.png)
0x01目标
声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。
直接上目标,这是一个普普通通的某系统。(只能露半脸)
![图片[2]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305038.png)
0x02 打点
直接开始整活~ ·~ 先来试一手弱口令
![图片[3]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305039.png)
没有验证码,还提示用户名不存在,直接打开burp~ 上字典!很遗憾,一眼到头全是“用户名不存在”
![图片[4]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305041.png)
那么问题就来了,要么统一返回的都是“用户名不存在”,要么是真的没有碰到用户名,既然普通的用户字典没有成功,那么可以考虑下是不是工号,一般为4位或者6位数字,再次进行爆破。终于出现两个不一样的东西
![图片[5]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305044.png)
虽然得到了用户名但是从爆破界面可以看到不论是否是存在的用户,爆破有一定次数会进行锁定。
![图片[6]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305046.png)
希望之光来了,又好像没来
![图片[7]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305047.png)
0x03shell
想着换一条思路,然后扫了一眼爆破的窗口发现一个问题,有几个特殊的用户名都是登陆次数过多被锁定了。
![图片[8]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305048.png)
他们共同特点都是有“ ' ”单引号。
![图片[9]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305051.png)
啥也别说直接上Sqlmap
![图片[10]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305056.png)
结果啥也没跑出来,但是事情肯定没这么简单,手动尝试下。
![图片[11]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305062.png)
很明显报错注入 构造报错语句
![图片[12]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305063.png)
显示出数据库名。既然存在那就好办,还是掏出sqlmap 然后指定数据库类型,指定注入点以及注入方式,直接run。
![图片[13]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305067.png)
成功跑出,发现为dba权限直接尝试os-shell。
![图片[14]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-16823050671.png)
0x04上线
1、尝试写马
这里想通过echo来写一个webshell,那么首先我们需要找到网站的绝对路径。这里我们可以找一张图片然后通过find命令来寻找它的路径。
dir /a /s /b e: | findstr "20201203122243_5254.png" >1.txt
然后通过type查看路径
type 1.txt
![图片[15]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305068.png)
结果发现路径没有完全显示,很奇怪,这里猜测是sqlmap的问题,所以想通过powershell进行反弹shell。
2、powershell 反弹
尝试使用powershell直接反弹出来,首先在vps上起一个监听
![图片[16]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305073.png)
然后利用powershell进行反弹。发现被封ip(在执行其他命令时没有封禁ip,猜测有waf以及杀软)
![图片[17]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305074.png)
换个ip继续,发现powershell拒绝访问(这里忘记截图),于是猜测杀软可能是某数字。使用copy 来绕过对powershell的限制
copy C:WindowsSystem32WindowsPowerShellv1.0powershell.exe 2.exe
![图片[18]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305075.png)
成功执行
![图片[19]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-16823050751.png)
监听成功收到会话。
![图片[20]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305076.png)
这里继续查看下刚才find的路径
![图片[21]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305077.png)
![图片[22]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305078.png)
wtf? 这里肯定不是用“?”来作为文件夹名称 大概是是中文,所以这里是问号,sqlmap也不能显示出来。
3、上线
既然没办法写shell那么就直接上cs。首先查看杀软进程:
![图片[23]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-16823050781.png)
还是老办法使用copy命令来绕过使用certutil来进行文件落地。
![图片[24]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305081.png)
然后执行直接上线 成功上线
![图片[25]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305082.png)
![图片[26]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305083.png)
搞定~
![图片[27]-从注入到上线-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-199441-1682305083.gif)
E
N
D
本文作者:TideSec
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/199441.html
暂无评论内容