棋牌站人人得而誅之

0x01 前言

萌新，沒發過帖子，看了Squirrels，newlifes，4nt**1130老哥的滲透帖子，也把自己的一次經歷寫成帖子以供大家參考。

0x02 過程&&細節

1. FoFa游蕩時偶遇一棋牌后臺，本著棋牌站人人得而誅之，搞一下。

2. 本能的用弱口令試一下，不出意料，失敗~~~

3. 不死心，用burp測試一下top100，果不其然，再次失敗~~~

4. 沒辦法，只能繼續分析，通常這種狀況下，我都會用burpsuit爬蟲一下，找找數據交互的地方fuzzing一下，當然，首先后臺這種類型站最明顯的交互就是登錄了。

很幸運的簡單檢測一下發現post請求中username字段是存在注入的，當邏輯為真的時候，回顯:用戶名或者密碼錯誤,當邏輯為假時回顯：賬號不存在，報錯回顯。

真：userName=admin'AND 1=1 AND 't'='t&password=假：userName=admin'AND 1=1 AND 't'='k&password=

5. 當發現此處的注入，當然馬上使用sqlmap來梭哈一下，把post請求包保存為txt，用sqlmap -r sql_pointer.txt --random-agent先試試水，果然發現一堆注入。

6. 再一看，竟然是Microsoft SQL Server 2014,心中有些小激動了，不會直接可以用xp_cmdshell直接getshell吧？

7. 說干就干，直接打開cs，先生成一個one-liner，復制一下鏈接。

8. 再用sqlmap跑一下，加個參數--os-shell嘗試獲取一個交互，獲取之后再把one-liner鏈接執行。

9. 在靜靜等待幾秒之后，cs上線成功！

10. 但是再看了一下，果不其然，也只是低權限的MSSQLSERVER，嘗試了哈希轉儲和mimikatz，失敗，本想查看遠程文件，但是太慢了，等了幾分鐘也沒刷出來dirvers，難道是網絡太差？

11. 使用CS默認的提權，果不其然，失敗。

12. 之后又嘗試了爛土豆，bypassuac等等統統失敗，心想老機子不該呀，而且進程列表也沒法什么防護軟件呀，終于用ms14-058成功提權，CS又獲取到了一個system的session。

13. 接下來就順利了，mimikazt趕緊跑起來，成功獲取賬戶和明文密碼，這波爽歪歪。

14. 之后再掃描一下端口，發現RDP端口設置在了高位：23389，再直接遠程登錄一下，果然發現了正在運行的賭博后臺程序。

15. 找一下后臺文件夾在哪里，順便放了一只哥斯拉馬，順利連接上。

16. 繼續翻一番配置文件：web.config,果然發現了數據庫配置信息和一堆其他的配置信息。

17. 在哥斯拉中，用數據庫賬號密碼本地鏈接一下試試，成功了，并找到了后臺管理員賬號密碼，用nmap搜集信息的時候看了開放1433端口，貌似可以遠程。

18. 在cmd5查一下明文密碼，好像也是弱口令。

19. 獲取到明文密碼后，直接登錄一下看看，發現只是個小站又或者測試站，測試信息不少，似乎也沒什么人上當。

20. 搞完查了一下fofa，發現資產數量不少，應該是個比較流通的棋牌系統了，唉，騙子大行其道，可惡。

21. 清理一下登錄信息，結束。

0x03 總結

本次滲透比較順利，都是些簡單通用的思路：信息搜集(爬蟲，namp，js接口之類)-->sql注入點（突破點）-->cs上線-->提權（權限提升）-->mimikatz（憑證訪問）-->信息再搜集利用等等。希望對大家有些許助益，謝謝觀看。