和檸檬草叔叔的淚奔史：從注入到內網漫游 2015-10-16 #內網漫游 #MSSQL注入

作者：王松_Striker && 檸檬草
郵箱：song@secbox.cn
團隊：安全盒子團隊

前言

注入點是jcms的一個注入點，然后進行注入獲取密碼以后，安全核心核心成員wefgod對密碼進行了逆向（在此感謝wefgod大神），但是登陸后臺提示密碼錯誤，各種無解，最終發現注入點可以執行命令，自己鼓搗了很久無果，于是拉上草叔叔，就有了下文，非常精彩的一個過程。

0x01撕開內網入口

松叔叔給我發了一個sa權限的注入點。條件是：庫站分離。
ps：也是比較蛋疼的，sqlmap的回顯比較慢，雖然可以加上–threads參數提高線程速度，但是還是有些偏慢。
其實最不好的處理的是庫站分離，而且是在內網里面。
xp_cmdshell松叔叔把它恢復好了，然后執行命令就好：
http://www.xx/xx.jsp?xxid=11;EXEC master..xp_cmdshell ‘命令’–

思路：
1、ftp下載遠控
2、vbs下載遠控

但是這一切都需要內網能夠連接外網。
執行命令，ping了一下百度。

www.a.shifen.com是baidu的保護殼，這證明是ping的通的，于是echo寫ftp。
接踵而來的是工具執行一條命令好像會被執行兩次…

這就導致ftp不能成功登錄。

思路：
1、手工在注入點寫（可能是工具多執行了一次把？）
2、帳號設置為open ip，這樣就可以登錄進去，后面的錯誤命令不會導致出錯，可以無視。

最后還是松蜀黍V5的實現了思路1，得到了服務器，我在本地實現了思路2，但是最后不知道為什么還是沒有執行成功download到木馬。

0x02 內網漫游

@echo off 
setlocal ENABLEDELAYEDEXPANSION 
 @FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find
 "The command completed successfully." /v`) DO ( 
 @FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO ( 
 @FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo \\%%k  [%%j]) 
 ) 
 ) 

用這個bat跑了一下。大致了解一下內網情況。只有一個工作組

當前我們是處于192.168.2.15這臺數據庫服務器，根據電腦名猜了一下，可能192.168.212或者192.168.2.14是web服務器。

抓了一發服務器的管理員密碼，然后感覺這密碼還有點規律啊。
aaa@bbb 其中bbb是電腦名的前綴，然后就是各種構造密碼爆破。

其中也試過MSSQL憑據密碼獲取工具，但是密碼還是沒獲取出來。
對c段的ip掃了一下端口。
天清漢馬USG防火墻：

一個web服務器：

手工檢測了一下，是有sql注入的，但是沒找到后臺。
然后就是各種翻服務器文件，找敏感信息。

0x03 getshell

松叔叔這時候測試目標站的后臺，發現數據庫服務器的管理員密碼能夠登錄后臺。
是一個jcms系統，wooyun一下。
http://www.wooyun.org/bugs/wooyun-2014-064240

得到一個shell，然后查看ip的時候，我沒有哭。

它就是我已經爆破出來的服務器，而且翻了很久配置文件的服務器。

ps：這不是iis搭建的web，所以我不知道怎么看本地的web配置。