从SQL注入到内网漫游
首页 > 漏洞    作者:Hit0n   2018年10月28日 14:21 星期日   热度:483°   百度已收录  
时间:2018-10-28 14:21   热度:483° 

前言

在一次渗透实战中,发现了一个注入点,最后成功的漫游了内网。

正文

在渗透中遇到一个站点,顺手测试了一下,在搜索框随便输入了一个字符加个单引号直接报错了,差不多可以确认这里存在注入了。一般这种站安全性极差,测试了下其他地方,在一个登录框处又发现一个注入。 


直接丢到sqlmap里面跑就行了。这里就不重新跑了,贴sqlmap的日志图出来。

从上面的图来看,其实我们并没有跑出password列,因为这是access数据库,sqlmap是基于暴力破解的形式,我们可以看看他的列名的特点,是adminxxx,那么我们是不是可以猜测一下password列名的形式会不会是adminpassword/adminpasswd/adminpw 或者其他。又或者不管有没有注出来password我们先用注出来的admin账户进行暴力破解。这里我两者都试了,最后通过后者进入的。好了成功进入后台,找上传点。折腾了一番终于在一个比较隐蔽的地方找到了上传点。上传,成功拿到shell。 

补丁打满,想提权基本是不可能了。转换思路,查找敏感信息,因为这是一个大目标,提权不是必须不一定非得陷在这里。经过一番查找,翻到了数据库配置文件成功进入数据库,在这里查看到了一些管理员账号和密码,顺便说一下password列名是admin_pw,记录下来。这个站折腾的差不多了,手上的账号密码得让他充分发挥作用。这里可以用Googlehack语法去查找这个目标的其他站点例如site:xxx.com 系统也可以用扫描C段,推荐一个工具masscan,号称6分钟可以扫遍全网。确实很快,我们用它把这个站的C段全扫一遍,因为之前已经用正向代理把它的C段445全扫了一遍没啥收获,所以就直接选择扫描http服务了。使用命令masscan -p 80, 8080 ip --rate=10000即可rate参数代表的是发包速率。下面是截取的部分C段网站。 

一个个的过一遍,有登录功能的话,用获取到的密码去尝试登录一下。这里一定要有耐心,不要放过一个可能存在问题的点。折腾了几个小时后,找到一个可以登录的站,而且是非常关键的那种。直接链接了内网各种系统。粗略看了下大概有六七十个吧,包括很多敏感的系统,都是可以直接链接进去的。

随便截取几个看下吧 个人邮件: 

内部通讯录: 

财务: 还有很多就不一一截取了。 内网系统基本都很脆弱,本人没有做深入的测试。

写在后面的话

可能大家会觉得,一路看下来顺风顺水,其实哪有那么容易,我都不知道花了多久才找到这么一个站。很多目标往往都是从一个非常小的地方慢慢的被击破,非常需要耐心和细心。


二维码加载中...
本文作者:Hit0n      文章标题: 从SQL注入到内网漫游
本文地址:http://lang-v.com/first_cms/yc/emlog/src/?post=43
版权声明:若无注明,本文皆为“YC's Blog”原创,转载请保留文章出处。

返回顶部    首页    手机版本    后花园  
版权所有:YC's Blog    站长: Hit0n    程序:emlog