前言

某次遇到mssql不出网,然后研究研究.

sql注入

测试过程中,发现目标存在一个sql注入,无回显.

但是存在waf,无法使用sqlmap,只能手动注入.根据报错知道是mssql.使用延时尝试,对空格过滤,特殊编码即可.成功延时
`poc:WAITFOR%1eDELAY%1e'0:0:4'`
尝试开启xpcmdshell,然后dnslog尝试,发现可以成功获取.

继续尝试,发现只有dns出网.

写文件

这里报错给出了web的路径:D:/jmc/123/ccc/
<span>尝试写文件,发现没有报错.</span>

<span>echo aaaa>D:/jmc/123/ccc/jmc.txt</span>
要注意的是,这里写文件尽量用多个字符去写,单个字符无法写入.发现无法写入

对面是IIS,继续尝试写文件到默认路径下,c:\inetpub\wwwroot\echo aaaa>c:\inetpub\wwwroot\\.无法访问

说干就干,直接写bat去运行执行.为了避免特殊字符,需要利用base64去写入.

编码成base64写文件

解码,然后运行

成功收到dnslog.然后重复,写到D:/jmc/123/ccc/1.txt下面.没有成功收到来判断目标是站库分离(当然也有可能权限问题)

C2线上

站库分离,无法写,只有上线或者其余方式了.这里打算采用cs的dns上线前置域名自己准备

采用dnslog上线,这里的生成的免杀马子有1M多.采用分段传输的手段.利用certutil进行base64编码,然后需要把换行去掉,不然写进去的无法解码.

因为mssql有字段限制,需要一点一点写,写一个脚本去跑遇到的几个问题:1.跑几十个就封ip,--采用代理解决.2.在重复的过程中,会存在ip代理更换不及时,导致有某段漏发,--采用延时+3次尝试解决.3.又发现会存在同一段发两次的情况,--采用每次发和上次验证是否相同解决.PS:这几个问题耗时好久

这里为了查看数据包,把代理设置到burp,实时查看.

自动化内网渗透

如果用这种方式无法上线dns隧道或者获取到交互式shell或者不出网的linux等情况，这里尝试了自动化内网渗透小操作.既然无法反弹,那就自动寻找.这里采用的是ssh自动化爆破.原理是:写进去一个exe,让他自动去内网爆破ssh,爆破成功就尝试是否和外网通信,然后通信就执行bash去反弹shell.问题:多个爆破成功,是否重复上线导致问题,采用先验证通信,然后在上线.然后停止的操作.