0x01 概述

本文章来自知识星球成员yemur的投稿，感谢。

本次渗透仅为技术研究，请勿用于非法破坏，一切后果与我方无关。

0x02 正文

FOFA搜索

使用知识星球内部的FOFA在线搜索系统收集一些站点

搜索结果如下：

这里随便从其中选取一个站点做测试对象，打开页面如下

尝试使用弱口令登录

admin/admin
admin/123456
.....................

若口令失败，那么开始尝试万能密码的sql注入。众所周知该类网站的登录基本上都有sql注入。那么我们现在先抓取登录的数据包。

其中*代表注入点，然后将其保存为sql.txt，直接用sqlmap的-r参数跑即可。不过在此之前先配置一个代理，避免暴露自己。

配置proxifier

代理来源可以使用自己的clash作为代理来源，也可以去网上专门购买代理，如快代理，这里使用是clash的代理

在proxfier上先添加一个代理服务器

其中代理端口为你clash的端口，地址为127.0.0.1，接下来配置代理规则，根据自己的需要进行配置，我这里只配置了python和chrome的代理

使用py测试一下代理是否配置成功，py脚本代码如下

import requests
url="http://myip.ipip.net/"
header={
"User-Agent":"Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
}
resp=requests.get(url=url,verify=False,headers=header)
resp.encoding="utf-8"
print(resp.text)

响应如下

接下来执行sqlmap的命令

python3 sqlmap.py -r sql.txt -D --tables --batch --threads 8

运行结果如下

接下来报表

python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB --tables --batch --threads 8

爆字段

python3 sqlmap.py -r sql.txt -D RYPlatformManagerDB -T Base_Users --dump --batch --threads 8

将其密码拿到cmd5去解码

只因我没有小钱钱买MD5付费查询，免费站点又解不出来，gg了，换一种思路，使用sqlmap的--os-shell参数来执行命令让其上线cs

python3 sqlmap.py -r sql.txt --batch --threads 8 --os-shell

十分顺利，这里直接使用使用cs生成payload

payload类型选择如下

然后生成payload，将其在sqlmap中执行

成功上线

尝试提权，先使用命令查看系统信息，查看合适的提权方法

shell systeminfo

查找对应exp

这里最后发现使用SweetPotato可以成功提权，原因后面说。。。。。。。。。。。。。。。

使用Sweet Potato反弹一个system权限回来

成功反弹回system权限，那么我们按照一般的内网流程行动（大部分情况下都只是工作组），刚刚执行systeminfo时就发现这个站点不存在域，所以我们可以到此为止。。。假的，来都来了，开个3389上去看看再说。在system权限的会话中抓取密码

成功抓取到密码，密码强度可谓是非常之强。。。。。。20多位的密码

接下来使用system权限的会话开启3389即可

开启成功，这里就直接使用刚刚抓取到的账户和密码进行登录。登录成功

下面这个腾讯管家搞得我差点提权失败。。。包括上线。。。。。。

这要真是失败了就得拿出我的免杀大杀器了，可惜没有排上用场哈哈哈

使用各种痕迹清除工具将渗透清除（每次渗透完一定要清除痕迹），后来发现此机器并无域控，至此渗透之旅结束收工。

本文来源于yemur 狐狸说安全