开局一个静态页,但有一个我要查功能,连接了好多分站,分站测试无果,发现下面有更多功能,柳暗花明,点开又发现众多分站,逐个测试。
XX系统 | Xx查询 | XX系统 |
---|---|---|
XX系统 | Xx查询 | XX系统 |
XX系统 | Xx查询 | 更多功能 |
更多功能中发现被测站点,链接过去后主页类似下图
XX在线管理 | XX查询 |
---|
Xx在线管理,肯定是首先用你下手,点进去发现只有用户名,密码,无人机交互验证,各种爆破,无果。这时底下几个大字提醒了我
点进去后弹框提示,用户名为单位的汉字全称,例如【XX公司】。密码可以使用系统的默认密码!忘记密码请联系技术支持
系统默认密码,肯定不会太难,无非就是123456,888888这种
使用提示用户名加简单密码,成功登录。
登录后就是找到了几个上传点,逐个测试,各种绕过,无果。
转到修改密码处,尝试输入错误原密码,发现如下提示。
抓包,并把原密码打*,放到sql里面跑。
有结果!但是延时注入,直接尝试os-shell,等很久跑出sqlserver路径,但太慢了,加上有waf,导致结果很不准,到这,起码证明了有sql注入漏洞。
但要进一步利用,传shell,需要知道网站物理路径,使用系统的各种报错,都无法爆出物理路径。
通过os-shell逐个目录cd、dir,估计等找到,管理员早就发现了,很难过。
又回到最初的起点,但既然这个站有注入,与他一起的另一个XX查询,会不会也有注入,抓包,sqlmap跑,如愿以偿。
XX在线管理 | XX查询 |
---|
而且这次还有union注入,舒服了。
想着通过union注入翻网站跟目录,直接传shell一把梭哈。
但是!dir路径发现他这个路径名全是中文,导致sql无法读取,这就很难受了,可能是编码问题,有知道的大佬求赐教,dir出来有这个目录,但是没法继续dir了,英文文件名就没有问题,中文就不行,后期冰蝎马连上后也有这个问题。
网上查找各种方法,无果,后来想到有个tree命令可以列出所有文件夹,类似下图这种,也算个笨方法,就这样等了很久,把所有盘所有文件夹都列出来了。
但是想用sqlmap上传文件发现,有路径中有中文还是无法上传,脑袋疼。
祭出第二款神器超级SQL注入工具,发现只能识别出盲注,可能是我不太会用。
通过url找文件夹名,上传txt,访问,最终确认了网站根目录,类似这种D:\XX管理系统\web\查询\,直接上传冰蝎马,成功连接。
ipconfig发现只有内网网卡。
netstat -ano发现目标开放3389端口,但从外网环境无法访问。
whoami发现是管理员权限,添加账号,加到管理员组。
但是!冰蝎也无法正常读取中文?估计是网站编码有些问题。
只能通过超级SQL注入工具上传reGeorg木马,讲内网环境带出来,通过代理访问本机ip3389,使用添加的账户成功登录。
因为客户说内网不让继续渗透了,所以渗透到此为止。