作者:王松_Striker && 柠檬草
邮箱:song@secbox.cn
团队:安全盒子团队

前言

注入点是jcms的一个注入点,然后进行注入获取密码以后,安全核心核心成员wefgod对密码进行了逆向(在此感谢wefgod大神),但是登陆后台提示密码错误,各种无解,最终发现注入点可以执行命令,自己鼓捣了很久无果,于是拉上草叔叔,就有了下文,非常精彩的一个过程。

0x01撕开内网入口

松叔叔给我发了一个sa权限的注入点。条件是:库站分离。
ps:也是比较蛋疼的,sqlmap的回显比较慢,虽然可以加上--threads参数提高线程速度,但是还是有些偏慢。
其实最不好的处理的是库站分离,而且是在内网里面。
xp_cmdshell松叔叔把它恢复好了,然后执行命令就好:
http://www.xx/xx.jsp?xxid=11;EXEC master..xp_cmdshell '命令'--

思路:
1、ftp下载远控
2、vbs下载远控

但是这一切都需要内网能够连接外网。
执行命令,ping了一下百度。

1.png

www.a.shifen.com是baidu的保护壳,这证明是ping的通的,于是echo写ftp。
接踵而来的是工具执行一条命令好像会被执行两次...

2.jpg

这就导致ftp不能成功登录。

思路:
1、手工在注入点写(可能是工具多执行了一次把?)
2、帐号设置为open ip,这样就可以登录进去,后面的错误命令不会导致出错,可以无视。

最后还是松蜀黍V5的实现了思路1,得到了服务器,我在本地实现了思路2,但是最后不知道为什么还是没有执行成功download到木马。

3.png

0x02 内网漫游

@echo off 
setlocal ENABLEDELAYEDEXPANSION 
 @FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find
 "The command completed successfully." /v`) DO ( 
 @FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO ( 
 @FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo \\%%k  [%%j]) 
 ) 
 ) 

用这个bat跑了一下。大致了解一下内网情况。只有一个工作组

4.png

当前我们是处于192.168.2.15这台数据库服务器,根据电脑名猜了一下,可能192.168.212或者192.168.2.14是web服务器。

抓了一发服务器的管理员密码,然后感觉这密码还有点规律啊。
aaa@bbb 其中bbb是电脑名的前缀,然后就是各种构造密码爆破。

5.png

其中也试过MSSQL凭据密码获取工具,但是密码还是没获取出来。
对c段的ip扫了一下端口。
天清汉马USG防火墙:

6.png

一个web服务器:

7.png

手工检测了一下,是有sql注入的,但是没找到后台。
然后就是各种翻服务器文件,找敏感信息。

0x03 getshell

松叔叔这时候测试目标站的后台,发现数据库服务器的管理员密码能够登录后台。
是一个jcms系统,wooyun一下。
http://www.wooyun.org/bugs/wooyun-2014-064240

8.png

得到一个shell,然后查看ip的时候,我没有哭。

9.png

它就是我已经爆破出来的服务器,而且翻了很久配置文件的服务器。

ps:这不是iis搭建的web,所以我不知道怎么看本地的web配置。