简介:
这次的目标有点子大型,目的是打进内网。
正题:
主站一般不想了,先搞子域名还是常用的办法子域名先跑一边,我这里使用的工具是oneforall,把收集到的子域名统统搞一遍,发现该子域名上所有的web程序都是使用的同一款cms(别问怎么知道的,问就是云悉查的),然后这套cms网上并没有啥可以利用的公开漏洞。
这里因为我看的资产现在都被关闭整改,有些图就没了(是真的没了,当时没截图好),当时是在一个子域名的系统上面,一开始没注意看,后面又仔细的看了一遍,发现最下面的一个发布区有一连串的http:ip:port/路径(一定要善于观察啊,兄弟们)。数了一下,大概就是一个服务器上搭了十几个应用(服务器够强大),抽了几个出来访问,发现都是老古董,asp语言开发的站,那数据库就是access的咯,可能就是RP好,注入拿下解出账号密码admin/amdin888,后台页面也简单,就是路径加admin就行。
后面登入该系统,尝试getshell,找有传的地方,不过有点东西哈,有数据库备份功能,在这里可能很多朋友都没碰见过数据库备份getshell了,利用方式很简单。找一处上传点,正常上传一个图片(图片一句话马)。
然后到数据库备份的地方,我们要先复制好刚才成功上传的图片地址,然后到数据库备份处,就是通过数据库备份功能把jpg的一句话木马的格式改成asp。
成功Getshell,我们用菜刀,蚁剑之类的连接一下。
连接成功,拿到shell,再接下来就是要进行提权了,执行几个命令看看。
提示我拒绝访问,这里有知识点来了(针对新手哈,大佬跳过)
提示拒绝访问有两种可能(可能不止两种,我就知道两种而已)
1、出现以上提示可能是cmd权限不足,需要自己上传一个cmd.exe,注意windows server不能使用win10的cmd,需要对应版本。
2、可能启用了安全模式(但是这里没有提示,那就应该是第一种)
解决方法:
1、重新设置一下cmd路径:如setp:C:inetpubwwwrootcmd.exe
2、上传一个大马寻找可读写目录,重新上传一个cmd(版本需要匹配)
第一个方法试过了,不行。换第二个方法上传个大马(还是上面一样的操作,数据库备份)有人可能会说,用菜刀直接添加一个文件加入大马代码,试过了,加不进去撒。不让保存。
大马上传成功,使用大马探测本地可读写目录。
可读写目录找到了,接下来就是上传一个新的cmd(64/32)都上传一个,测试一下。上传的就不截图了,看下执行命令吧。
成功执行命令(还是双网卡)那这里咱们的cmd就能成功执行命令了,查下补丁情况,
代码语言:javascript复制systeminfo
执行看看能不能提权,应该是台 03的机器。
2003的系统,但是当前没有域。
查询当前权限:
代码语言:javascript复制whoami
把补丁号复制出来匹配一下,没打什么补丁,有没有可以能提权的exp。
有可以尝试来利用的exp,这里提权其实没有成功,我上传的文件全部被360删除了,这台机器上面有360的主动防御,使用cs的马也会被杀。后面接直接使用了socks4的代理,进内网,扫了一个网段的常用端口,发现了他们内网的里面的一个web应用。