实战|记录一次渗透测试项目

2020-09-17 11:08:27 浏览数 (1)

本文作者:零度安全攻防实验室

本文字数:1420

阅读时长:7~9min

声明:仅供学习,否则后果自负

开场白:

在这里呢,要先跟大家说声抱歉这么久都没更新文章,不是咱们不更新啊,是实在没啥实战文章更,如果各位有什么需求或者需要什么资源可以在公众号留言(就是发送你想说的到公众号),我会一一查看并回复,也希望大家呢,觉得我们发的文章可以的话,帮忙转发一下,我们也希望关注量上去,这样才更有动力写文章。我们所发的实战渗透测试项目都是授权并脱敏了的。就先说到这。

简介:

这次的目标有点子大型,目的是打进内网。

正题:

主站一般不想了,先搞子域名还是常用的办法子域名先跑一边,我这里使用的工具是oneforall,把收集到的子域名统统搞一遍,发现该子域名上所有的web程序都是使用的同一款cms(别问怎么知道的,问就是云悉查的),然后这套cms网上并没有啥可以利用的公开漏洞。

这里因为我看的资产现在都被关闭整改,有些图就没了(是真的没了,当时没截图好),当时是在一个子域名的系统上面,一开始没注意看,后面又仔细的看了一遍,发现最下面的一个发布区有一连串的http:ip:port/路径(一定要善于观察啊,兄弟们)。数了一下,大概就是一个服务器上搭了十几个应用(服务器够强大),抽了几个出来访问,发现都是老古董,asp语言开发的站,那数据库就是access的咯,可能就是RP好,注入拿下解出账号密码admin/amdin888,后台页面也简单,就是路径加admin就行。

后面登入该系统,尝试getshell,找有传的地方,不过有点东西哈,有数据库备份功能,在这里可能很多朋友都没碰见过数据库备份getshell了,利用方式很简单。找一处上传点,正常上传一个图片(图片一句话马)。

然后到数据库备份的地方,我们要先复制好刚才成功上传的图片地址,然后到数据库备份处,就是通过数据库备份功能把jpg的一句话木马的格式改成asp。

成功Getshell,我们用菜刀,蚁剑之类的连接一下。

连接成功,拿到shell,再接下来就是要进行提权了,执行几个命令看看。

提示我拒绝访问,这里有知识点来了(针对新手哈,大佬跳过)

提示拒绝访问有两种可能(可能不止两种,我就知道两种而已)

1、出现以上提示可能是cmd权限不足,需要自己上传一个cmd.exe,注意windows server不能使用win10的cmd,需要对应版本。

2、可能启用了安全模式(但是这里没有提示,那就应该是第一种)

解决方法:

1、重新设置一下cmd路径:如setp:C:inetpubwwwrootcmd.exe

2、上传一个大马寻找可读写目录,重新上传一个cmd(版本需要匹配)

第一个方法试过了,不行。换第二个方法上传个大马(还是上面一样的操作,数据库备份)有人可能会说,用菜刀直接添加一个文件加入大马代码,试过了,加不进去撒。不让保存。

大马上传成功,使用大马探测本地可读写目录。

可读写目录找到了,接下来就是上传一个新的cmd(64/32)都上传一个,测试一下。上传的就不截图了,看下执行命令吧。

成功执行命令(还是双网卡)那这里咱们的cmd就能成功执行命令了,查下补丁情况,

代码语言:javascript复制
systeminfo

执行看看能不能提权,应该是台 03的机器。

2003的系统,但是当前没有域。

查询当前权限:

代码语言:javascript复制
whoami

把补丁号复制出来匹配一下,没打什么补丁,有没有可以能提权的exp。

有可以尝试来利用的exp,这里提权其实没有成功,我上传的文件全部被360删除了,这台机器上面有360的主动防御,使用cs的马也会被杀。后面接直接使用了socks4的代理,进内网,扫了一个网段的常用端口,发现了他们内网的里面的一个web应用。

到这里就先告一段落了,后面再更新,下集更精彩哟。

截止到写到现在已经凌晨1点48分,写作不易,希望各位兄弟点赞 转发。

零度安全攻防实验室

BY NEWRANK.CN

长按二维码关注我们吧

0 人点赞