中国网络渗透测试联盟

标题: 实战从注入点到服务器权限 [打印本页]

作者: admin 时间: 2022-3-31 01:58
标题: 实战从注入点到服务器权限

$ L( i6 M4 u& e- X# e
) ^* _8 k9 V: u4 I. J8 u$ H% N

) m& L$ ~4 c9 J( ~% r sqlmap测试注入点为http://www.xxoo.cn/newsDetail.jsp?id=10 mssql dba权限，用最新版的sqlmap发现不能使用--os-shell执行命令，提示不支持，差点就放弃，后来经过多次测试，用一个旧版本可以成功执行，既然权限是system，那么问题就简单了，思路是找到web绝对路径，那么就用 dir /S /D 命令找，先用网站上传点上传一个jsp的jpg文件，然后执行 dir /S /D d:\2014050xxoo.jpg <1.txt
0 p# q6 Q" s+ |; e 这里只是举个例子，然后执行结果就在system32目录下，用type命令可以查询，我这里执行回显了如图：
# B% j- B" Q5 x. N7 ?- T0 B' N
0 t4 P0 P4 d* H: f& `9 n; l3 S- @注： dir /S /D d:\2014050xxoo.jpg <1.txt 这里可以分别列c、d、e都可以列，这个命令适合注入点为盲注，速度慢的时候，这个命令还是相当快速的。。2014050xxoo.jpg 是通过上传点上传的jsp大马。。
( S9 F. y8 M2 r D; R1 @! J* B" T
5 `5 V! C" B& T0 S# J" L1 e 如上图获取到网站路径，由于权限是system，可以直接用copy命令改jpg为jsp或者想要的格式
. q+ z4 `& s* _* `7 K7 k如图：
# q3 H# }8 e' P
* I' r3 ]9 R* q) [0 U注意：有空格和&连接符的时候记得要把路径用双引号括起来，否则不成功
0 ]3 z9 P( m$ ]+ N0 b5 s然后用lcx反弹出来，激活guest账号进服务器，内网服务器很卡，其实还可以试试sqlmap的另一个上传方法上传，因为权限大嘛
! S( V- g% ]3 J1 a 如图：
7 p6 _8 ?$ z, o7 ^% f r8 f
( ]- i1 t9 [: O! m) V* w" u9 N
2 b6 f% ]* I7 D# D5 Y 主要思路是type出网站路径，然后copy jpg为jsp，有时候渗透就是这样，不比考试，只要记住一种方法把题作对OK，渗透则需要掌握全部的方法才行啊，由于是政府网站所以没考虑进行内网渗透测试 4 G6 [6 P: J' Z2 X' ~

6 R5 T, x3 A* T& n
/ {3 B* ?: b3 S& L

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)