记一次利用sqlmap渗透的经历

0X00 前言

平时打CTF比较多，CTF都是一些挖洞的花式技巧，但是对于渗透测试这种针对业务，目标明确的（拿站）这种活干的还是比较少，也相对经验缺乏，但是由于暑假要去某司干渗透测试相关的活，所以就自己先研究了起来，也认识了一些渗透比较牛逼的大师傅，下面简单的记录一下渗透的一个比较容易的站。

0X01开始

找一个小一点的asp的站，一般渗透都是从注入开始吧，毕竟现在还是OWASP榜首，一开始就找到一个注入，如果说CTF平时习惯用手测，考察的是疯狂的花式绕过，那么渗透就相对简单一些，直接上sqlmap 这个神器就行了，一般asp的站都是windows的主机，使用的sql也一般是access或者是Sql server,使用的时候跟上 –current-user 这个参数就能看到我们注入点当前的权限，如下图：

我很幸运的看到 ‘sa’ ，说明我是超级管理员权限了，而且我们也能看到，我已经看到了服务器使用的是 windows 2008 R2 ,服务用的是 IIS 以及 SQL server 2008 。

因为一般windows的服务器由于命令行的不好用，很多都是使用3389来进行管理的，于是接着我又对这个网站的端口进行了一番探测，发现果然开了3389，那么渗透测思路就很明确了，先定一个小目标：我需要登录3389。

0X02深入

有了这个小目标以后，有种思路就是通过注入得到管理员的密码，说不定就是3389的密码。后来师傅们又提醒我，干嘛要注入，你都是 sa权限了，直接给他创建一个用户然后登陆进去不就得了？

我这时候才意识都sqlmap的强大，是在下无知了，我先试了 –sql-shell 这个参数，如下图：

我可以直接在里面执行sql命令，后来我一想，有没有能直接执行系统命令的，你别说还真有…..智商再次受到碾压。我们用sql 打开 xpcmdshell

打开

sp_configure 'show advanced options',1
reconfigure
go
sp_configure 'xp_cmdshell',1
reconfigure
goiubi 

执行结果：

配置选项 ‘show advanced options’ 已从 0 更改为 1。请运行 RECONFIGURE 语句进行安装。
配置选项 ‘xp_cmdshell’ 已从 0 更改为 1。请运行 RECONFIGURE 语句进行安装。

如需关闭只需将“sp_configure ‘xp_cmdshell’,1”改为“sp_configure ‘xp_cmdshell’,0”即可。

然后接着使用–os-shell 就行了，如下图：

2018.3.11 增——————————–

如果要问 sqlmap os-shell 执行命令的原理是什么，那么我们在执行的时候可以稍微观察一下 info 的细节，就能看到这样的结果

如果对 UDF 是什么还不了解的话，可以看一下我的这一篇文章

习惯性的输入 dir 看一下目录：

发现这个注入点是没有输出的，那不管了，我先创建一个账号试一下，如果登进去不就是执行了？（为了不打草惊蛇，我选择了激活系统自带的guest用户）

开启3389，登录！

成功了，hhh，sa 权限不是盖的

0X03挖掘

进去了以后可以干什么呢？信息收集呗，看看网络情况和主机情况。

网络：

很遗憾只有一块外网的网卡，没有内网，本来还研究一下内网的。

主机：
主机我都无法吐槽，这种管理员就应该去祭天。。。真的把啥都给我了。。（不过我后来发现管理员在服务器上备份账号密码还真不是一个非常少见的是事，只不过这位管理员直接在外网服务器上备份还真的是nb）

随后我又探测了一些其他的网络情况：

arp -a

hosts

systeminfo
这个信息不知道为啥看不到，是不是我是guest 的原因，但是我已经把我添加到了管理员组，不是很理解。

总之也没发现什么特别有价值的东西，那个arp -a 发现的另一个ip 是同一个ip端下的另一个不同的网站，和这个网站的关系不是特别大，（不过那些用户名密码真的是….）

0X04隐藏

我现在是guest用户，这个是windows的一个默认的用户，他是不能删除的，只能禁用，这个账户我是不能留的太容易被发现了，还是创建一个影子账户比较好（具体操作请看windows渗透中后门用户的添加方法探究 ）

最后就是把自己登陆3389的痕迹清除

弄一个bat运行一下

然后删除

最后别忘了从回收站里面删除这个文件。

溜了溜了。。。。期末要紧，毕业要紧。。。。