中国网络渗透测试联盟

标题: 实战从注入点到服务器权限 [打印本页]

作者: admin 时间: 2022-3-31 01:58
标题: 实战从注入点到服务器权限

- b+ m) ?- ?' U
: |5 m3 ?: N, o( k. n( o' _4 `* j

) u6 J0 @$ t% X( a: i) u- D) b sqlmap测试注入点为http://www.xxoo.cn/newsDetail.jsp?id=10 mssql dba权限，用最新版的sqlmap发现不能使用--os-shell执行命令，提示不支持，差点就放弃，后来经过多次测试，用一个旧版本可以成功执行，既然权限是system，那么问题就简单了，思路是找到web绝对路径，那么就用 dir /S /D 命令找，先用网站上传点上传一个jsp的jpg文件，然后执行 dir /S /D d:\2014050xxoo.jpg <1.txt
7 ~8 Z3 s! B2 G% B这里只是举个例子，然后执行结果就在system32目录下，用type命令可以查询，我这里执行回显了如图：
! k$ S0 d" f5 U7 c
9 [( t4 \7 U* n, ~ m s7 w 注： dir /S /D d:\2014050xxoo.jpg <1.txt 这里可以分别列c、d、e都可以列，这个命令适合注入点为盲注，速度慢的时候，这个命令还是相当快速的。。2014050xxoo.jpg 是通过上传点上传的jsp大马。。
" x9 x+ U6 G" e. X7 D. P0 @- K h4 _
4 q; e/ v9 U& R& L3 N2 k0 i0 ^ V如上图获取到网站路径，由于权限是system，可以直接用copy命令改jpg为jsp或者想要的格式
8 s( }# G- a- S# z8 b# o如图：
1 i3 |* n# _3 }( h
- D3 R- S% d! E: u& I$ _注意：有空格和&连接符的时候记得要把路径用双引号括起来，否则不成功
# K$ g% |1 c( b7 ~ 然后用lcx反弹出来，激活guest账号进服务器，内网服务器很卡，其实还可以试试sqlmap的另一个上传方法上传，因为权限大嘛
y; s4 Y5 e. ^如图：
7 m' q. r U( T3 S
" `2 t( i; w, q1 Z! I" V" i0 u
3 R& l3 ^% r% n* z- ]主要思路是type出网站路径，然后copy jpg为jsp，有时候渗透就是这样，不比考试，只要记住一种方法把题作对OK，渗透则需要掌握全部的方法才行啊，由于是政府网站所以没考虑进行内网渗透测试 : Z$ q5 f4 w7 S' v: k

d% P7 n) O3 A6 h$ r* U
$ u) E* E ^7 t* S

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)