对于安全测试这种针对业务,目标明确的(拿站)这种活干的还是比较少,也相对经验缺乏,所以就自己先研究了起来,下面简单的记录一下入侵检测的一个比较容易的站。
0x01 开始
找一个小一点的asp的站,一般都是从注入开始吧,毕竟现在还是OWASP榜首,一开始就找到一个注入,如果说CTF平时习惯用手测,考察的是疯狂的花式绕过,那么就相对简单一些,直接上Sqlmap这个神器就行了,一般asp的站都是windows的主机,使用的sql也一般是access或者是SqlServer,使用的时候跟上-–current-user这个参数就能看到我们注入点当前的权限,如下图:
我很幸运的看到sa,说明我是超级管理员权限了,而且我们也能看到,我已经看到了服务器使用的是windows2008 R2,服务用的是IIS以及SqlServer2008。因为一般windows的服务器由于命令行的不好用,很多都是使用3389来进行管理的,于是接着我又对这个网站的端口进行了一番探测,发现果然开了3389,那么思路就很明确了,先定一个小目标:我需要登录3389。
0x02 深入
有了这个小目标以后,有种思路就是通过注入得到管理员的密码,说不定就是3389的密码。后来师傅们又提醒我,干嘛要注入,你都是 sa权限了,直接给他创建一个用户然后登陆进去不就得了?
我这时候才意识都Sqlmap的强大,是在下无知了,我先试了-–sql-shell这个参数,如下图:
我可以直接在里面执行sql命令,后来我一想,有没有能直接执行系统命令的,你别说还真有…..智商再次受到碾压。我们用sql打开xp_cmdshell
使用命令:
sp_configure 'show advanced options',1
reconfigure
go
sp_configure 'xp_cmdshell',1
reconfigure
goiubi执行成功。
配置选项xp_cmdshell已从0更改为1。请运行RECONFIGURE语句进行安装。如需关闭只需将sp_configure 'xp_cmdshell',1改为sp_configure 'xp_cmdshell',0即可。
然后接着使用-–os-shell就行了,如下图:
如果要问--os-shell执行命令的原理是什么,那么我们在执行的时候可以稍微观察一下info的细节,就能看到这样的结果
习惯性的输入dir看一下目录:
发现这个注入点是没有输出的,那不管了,我先创建一个账号试一下,如果登进去不就是执行了?(为了不打草惊蛇,我选择了激活系统自带的guest用户)
此处输入图片的描述
开启3389,登录!
成功了,sa权限不是盖的
0x03 内网探测
进去了以后可以干什么呢?信息收集呗,看看网络情况和主机情况。
很遗憾只有一块外网的网卡,没有内网,本来还研究一下内网的。
主机我都无法吐槽,这种管理员就应该去祭天。。。真的把啥都给我了。。(不过我后来发现管理员在服务器上备份账号密码还真不是一个非常少见的是事,只不过这位管理员直接在外网服务器上备份还真的是nb)
随后我又探测了一些其他的网络情况:arp -a
这个信息不知道为啥看不到,是不是我是guest的原因,但是我已经把我添加到了管理员组,不是很理解。
此处输入图片的描述
总之也没发现什么特别有价值的东西,那个arp -a发现的另一个ip是同一个ip端下的另一个不同的网站,和这个网站的关系不是特别大,(不过那些用户名密码真的是….)
0x04 隐藏账户
我现在是guest用户,这个是windows的一个默认的用户,他是不能删除的,只能禁用,这个账户我是不能留的太容易被发现了,还是创建一个影子账户比较好(具体操作请看windows中后门用户的添加方法探究 )
此处输入图片的描述
最后就是把自己登陆3389的痕迹清除
弄一个bat运行一下
然后删除
最后别忘了从回收站里面删除这个文件。
溜了溜了,各位朋友,一起交流。
----------------------------------------
版权声明:本文为「K0rz3n」
原文链接:https://www.k0rz3n.com/%E8%AE%B0%E4%B8%80%E6%AC%A1%E5%88%A9%E7%94%A8sqlmap%E6%B8%97%E9%80%8F%E7%9A%84%E7%BB%8F%E5%8E%86/
