记一次站库分离从注入到拿下web server

以下测试均在取得授权后进行 现漏洞已经报告给负责人 系统已经下线
在一次测试中遇到了一个mssql的注入点
开启xp_cmdshell之后执行命令为system权限

当我准备先上一个shell的时候发现web盘符不存在

然后netstat看了下网络链接
202.202.xxx.133:1433 202.202.xxx.135:xxxxx
判断为站库分离
然后看了下是不出网的
但是dns可以出网

没有杀软直接准备使用dns beacon上线cs
然后在上线木马的时候被卡住了
这里不能直接在xpcmdshell输入powershell命令上线木马 可能是太长了的原因导致直接返回404
考虑落地木马 想起y4神的之前的这篇文章https://y4er.com/post/certutil-powershell-write-file/
但是这里的单双引号和|管道符导致执行sql报错

查了一下和y4那个方法一样的但是不用管道符的powershell写法

然后使用这个命令就能去除换行

配合burp成功落地木马

将其写到新的bat里面然后运行静待上线

进入beacon后输入checkin强制回连主机
收集了下信息 发现为工作组环境 无域
随后发现为系统为2012抓不到明文 先dump下hash
hash无法解密 然后去查了下sa的hash 也解不出来 收集了一下密码文件 感觉作用都不是很大
但是直接运气爆棚 直接用这个hash去wmi横向 搭个socks代理出来打
代理没问题后直接用wmiexec打失败了 估计是关闭了445端口 后面扫了下端口确实没开

加个-nooutput就直接通过135端口去执行无回显命令

运气不错:)
certutil看了下 没收到http请求 应该是也不出网
直接运行ps命令dns上线cs 最后成功上线web server

dns beacon太慢了太慢了 而且流量明显 还容易掉
重新补了一下图片 管理员帮忙删一下之前的那个帖吧
有师傅在这种网络环境下更好的打内网的方法可以交流交流 自评TCV=1