前言

在一次渗透实战中,发现了一个注入点,最后成功的漫游了内网。

正文

在渗透中遇到一个站点,顺手测试了一下,在搜索框随便输入了一个字符加个单引号直接报错了,差不多可以确认这里存在注入了。一般这种站安全性极差,测试了下其他地方,在一个登录框处又发现一个注入。

直接丢到sqlmap里面跑就行了。这里就不重新跑了,贴sqlmap的日志图出来。

从上面的图来看,其实我们并没有跑出password列,因为这是access数据库,sqlmap是基于暴力破解的形式,我们可以看看他的列名的特点,是admin_xxx,那么我们是不是可以猜测一下password列名的形式会不会是admin_password/admin_passwd/admin_pw 或者其他。又或者不管有没有注出来password我们先用注出来的admin账户进行暴力破解。这里我两者都试了,最后通过后者进入的。好了成功进入后台,找上传点。折腾了一番终于在一个比较隐蔽的地方找到了上传点。上传,成功拿到shell。

补丁打满,想提权基本是不可能了。转换思路,查找敏感信息,因为这是一个大目标,提权不是必须不一定非得陷在这里。

经过一番查找,翻到了数据库配置文件成功进入数据库,在这里查看到了一些管理员账号和密码,顺便说一下password列名是admin_pw,记录下来。这个站折腾的差不多了,手上的账号密码得让他充分发挥作用。这里可以用Googlehack语法去查找这个目标的其他站点例如site:xxx.com 系统也可以用扫描C段,推荐一个工具masscan,号称6分钟可以扫遍全网。确实很快,我们用它把这个站的C段全扫一遍,因为之前已经用正向代理把它的C段445全扫了一遍没啥收获,所以就直接选择扫描http服务了。使用命令masscan -p 80, 8080 ip --rate=10000即可rate参数代表的是发包速率。下面是截取的部分C段网站。

一个个的过一遍,有登录功能的话,用获取到的密码去尝试登录一下。这里一定要有耐心,不要放过一个可能存在问题的点。折腾了几个小时后,找到一个可以登录的站,而且是非常关键的那种。直接链接了内网各种系统。粗略看了下大概有六七十个吧,包括很多敏感的系统,都是可以直接链接进去的。

随便截取几个看下吧

个人邮件:

内部通讯录:

财务:

还有很多就不一一截取了。

内网系统基本都很脆弱,本人没有做深入的测试。

写在后面的话

可能大家会觉得,一路看下来顺风顺水,其实哪有那么容易,我都不知道花了多久才找到这么一个站。很多目标往往都是从一个非常小的地方慢慢的被击破,非常需要耐心和细心。

从SQL注入到内网漫游的更多相关文章

  1. CTF大赛模拟-CFS三层内网漫游

    CTF大赛模拟-CFS三层内网漫游 环境: 三台虚拟机,三个网络. target 1:192.168.161.178 ,192.168.52.132 (linux) target 2:192.168. ...

  2. 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

    /文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...

  3. 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】

    i春秋作家:jasonx 原文来自:一个xss漏洞到内网漫游[送多年心血打造的大礼包啦!] 前言 渗透过程中,有时候遇某些网站,明明检测到有xss漏洞,但是盲打以后,收到的cookie还是不能登录后台 ...

  4. 【转载】SOCKS代理:从***到内网漫游

    原文:SOCKS代理:从***到内网漫游 本文原创作者:tahf,本文属FreeBuf原创奖励计划,未经许可禁止转载 之前在Freebuf上学习过很多大牛写的关于Tunnel.SOCKS代理.***等 ...

  5. 内网漫游之SOCKS代理大结局

    0×01 引言 在实际渗透过程中,我们成功入侵了目标服务器.接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口.内网网站8080端口等等.传统的方 ...

  6. 通用型正方教务(通杀各版本)存在注入(不需登陆)+获得webshell+提权内网漫游

    某个接口页面存在oracle盲注,可以获得当前用户数据库,dump教师用户表,分析密文加密特征(前人研究成果+基友助攻),破译加密的密码.前台管理员登陆,后台文件上传基于黑名单原理,过滤u完全,上传特 ...

  7. hw从外网到内网的渗透姿势分享

    现在这段时间是全员 hw 时期,刚好前几天也有幸参与了某个地方的 hw 行动,作为攻击方,这里就简单总结一下最近挖洞的思路吧.因为可能怕涉及到敏感的东西,这里就有的地方不会细说了. 因为本人比较菜,所 ...

  8. msf生成后门实战漫游内网

    前言:当我们在渗透当中首先拿到webshell权限,进一步提权渗透,获得内网的主机,假设在这里我们获取了具有双网卡的web服务器,我们的目的是通过这台web服务器,进行内网漫游,获取内网中其他主机的系 ...

  9. SQL注入专题

    SQL注入专题--整理帖 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被 ...

随机推荐

  1. spring-cloud-hystrix服务熔断与降级

    Hystrix是一个用于处理分布式系统的延迟和容错的开源库,在分布式系统里,许多依赖不可避免的会调用失败,比如超时,异常等,Hystrix能保证在一个依赖出问题的情况下,不会导致整体服务失败,避免级联 ...

  2. Linux 下 MySQL-5.6.16 安装

    转载请注明出处!!!! 卸载mysql 1 查找以前是否装有 mysql 命令:rpm -qa|grep -i mysql 2 将所有包删除 删除命令:rpm -e --nodeps  包名 3 删除 ...

  3. vue使用过滤器利用moment实现日期的格式化

    import moment  from 'moment' 定义局部 filters:{ dateString:function(value,format){ console.log(value,for ...

  4. 仓位管理 V4.3

    之前设计的仓位管理算法一直比较有效,往往能在市场的不断的上涨下跌中获利.不过感觉短期变动的仓位占整体的仓位较低,使得盈利较低.所以这个月对仓位管理算法进行了升级,尝试了几个版本.这里做一个记录. V4 ...

  5. sql server实现简繁转换

    /*--调用示例 gb_to_big和big_to_gb表存放着常用的简繁字 --可以百度到常用的简体汉字,然后用excel转换成繁体  再导入数据库. --转换为繁体 select dbo.f_GB ...

  6. CYJian的新春虐题赛

    题解: t1: 算了一下发现乘法也是可以莫比乌斯反演的 然后就直接对原式莫比乌斯反演了 大概加法是$\mu {(i)}*f(i)$ 乘法就是$f(i)^{\mu {(i)}}$ 然后这个算法成功达到$ ...

  7. EF|CodeFirst数据并发管理

    在项目开发中,我们有时需要对数据并发请求进行处理.举个简单的例子,比如接单系统中,AB两个客服同时请求处理同一单时,应该只有一单请求是处理成功的,另外一单应当提示客服,此单已经被处理了,不需要再处理. ...

  8. jdk1.7更新visualvm插件

    所有的插件全部更新到hithub上 https://visualvm.github.io/pluginscenters.html 然后,在根据不同的JDK版本选择不同的插件地址.更改VisualVM插 ...

  9. 关于定时脚本crontab的坑

    需求: 每分钟执行一次程序,将处理后的数据写入mongodb 最初做法: 1):写crontab没有响应,于是打算通过shell脚本的while true来执行 当时sb,没控制时间内,而且我还是用n ...

  10. Python程序的执行过程原理(解释型语言和编译型语言)

    Python是一门解释型语言?我初学Python时,听到的关于Python的第一句话就是Python是一门解释型语言,我就这样一直相信下去,直到发现.pyc文件的存在,如果真是解释型语言,那么生成的. ...