• Mysql注入+IIS7.5解析实战


    本文仅为了学习交流,严禁非法使用!!!
    (随笔仅为平时的学习记录,若有错误请大佬指出)

    (先复现一个解析漏洞和Msbuild.exe绕过某防护软件,为后面的实战做个铺垫,以下都是基本操作,大佬不要喷)

    1.IIS7.5解析漏洞复现

    先复现IIS7.5解析漏洞(搭建环境的时候忘记截图了,只截了部分入坑图,大佬博客有详细的复现步骤 https://blog.csdn.net/qq_41703976/article/details/103844644)
    入坑部分(笔者搭建环境是win2008,采用的php-cgi.exe 是phpstudy自带的php,一定要更改php.ini里的cgi.fix_pathinfo=1,更改完全部配置后,一定要重启IIS7.5)


    在IIS7.5的web路径下,上传一个1.txt文件,在访问该1.txt后面加入/.php,解析成功

    我们通过谷歌浏览器里访问该文件,通过F12观察网站返回包的响应(可以明显的看到ASP.NET和PHP)

    2.Msbuild.exe免杀测试(参考文章 https://www.freebuf.com/articles/network/197706.html)

    复现环境
    win2008 安装了net4.0 360安全卫士,360杀毒软件
    kali 攻击机

    先用kali生产shellcode

    win2008加载shellcode,进行测试

    win2008主机的防护软件并没有拦截,且MSf成功上线

    MS17_010也可以成功提权

    3.挖掘漏洞

    存在一处注入点 http://www.xxxx.com/xxx.php?id=000(没有waf,有点激动)

    有回显的Mysql注入,开始爆表,爆字段,拿密码

    http://www.xxxx.com?id=-xxxx Union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()
    http://www.xxxx.com?id=-xxxx Union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name=(admin表的16进制)
    http://www.xxxx.com?id=-xxxx Union select 1,2,3,group_concat(id,userxxx,passwordxxxx) from admin




    拿到md5进行解密,得到密码

    看一下网站的返回包(搭配IIS7.5和PHP,有很大的可能性存在解析漏洞,文章开头我们复现过了)

    后台上传均是白名单验证,结尾必须是.jpg,.png,.gif(除了解析漏洞和00截断,貌似无解,上传一个一句话木马,抓包的时候,改为png,返回图片地址,尝试解析漏洞吧,只能死马当成活马医吧)

    后面加/.php,成功的把我们的png当成php进行解析

    习惯看一下服务去有什么进程,考虑要不要免杀,提权的后续操作


    存在杀软,可以考虑使用CS生成一个c文件,进行免杀(网上有公开的免杀代码,但感觉应该已经不能免杀了,自己也没有免杀的能力,还是太菜了,想到用白名单的方式进行免杀,虽然也有可能被杀,但还是值得一试,毕竟前面测试过是可以BYpass的),MSF成功上线。


    添加一波路由,扫描一下内网,但发现内网貌似没有其他存活主机,故放弃

    忘记截提权的图了,本地使用win2008复现一下漏洞

    可以考虑烂土豆提权,满足烂土豆提权的一个要求,想采用MS17_010进行提权,发现不存在该漏洞。

    此文档仅供学习,参与违法行为与笔者无关

  • 相关阅读:
    安装IIS
    SQL 通过某个字段名称找到数据库中对应的表
    javascript 操作 drop down list
    The project type is not supported by this installationVS2005
    Get 和 Post 简介
    .Net 控件调用 javascript事件
    JQuery检测浏览器版本
    开车要点
    linux shell工程师要求
    memory management
  • 原文地址:https://www.cnblogs.com/lovequitepcs/p/12770936.html
Copyright © 2020-2023  润新知