前言
一次授權的滲透測驗,程序比較詳細,充滿了巧合,也算比較有意思直接記錄一下,圖片打碼比較嚴重,應該是不影響閱讀!!!!
前端RCE
資訊搜集拿到的資產,通過序列化實作的RCE,但是這里只能執行命令并不能上傳等操作,并且服務器還有殺軟,所以互聯網實作RCE需要做免殺,
http://xxx.xxx.xxx.xxx:xxxx
這個不用多說了直接上工具就ok了,這里是windwos系統并不能反彈,所以使用命令上線CS還是可以的,
cs起監聽,生成hta檔案,
生成的hta檔案是沒有原生的木馬,這里基本上常見的殺軟都是過不掉的,所以這里需要做免殺,因為一般的上線方式也都嘗試過了,powershell等方式也都不行,有殺軟的情況下一般poweshell的執行都會被攔掉,所以這里使用mstha上線,免殺的思路之前的文章CS免殺姿勢可以看到,總的來講思路大差不差,
之前的文章中沒有介紹行程注入的免殺手段,如果說一般釣魚的話使用行程注入的免殺手段是為了避免行程被提前終止或者因為關聯的行程樹被終止導致CS的連接斷掉,mstha上線本來就是彈窗執行,針對服務器的話根本不需要考慮這種情況,
上傳到web服務器,
上傳免殺后的hta檔案,選擇一個埠,避免埠沖突,
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
執行命令
目標服務器成功上線,
發現使用的殺軟為360殺毒,簡單的加殼是過了360安全衛士的,但是被是殺掉了,所以混淆之后的檔案特征且加殼是過殺毒的,360殺毒和安全衛士使用的肯定是同一個病毒庫,為什么過了安全衛士殺毒過不掉殺毒,剛開始我以為360殺毒確實比360安全衛士np,后來問過做jinshan殺毒的大佬之后了解到,因為360的病毒庫確實大,在檔案落地的時候可能會出現檢測不到病毒特征的情況,所以說查殺確實存在玄學問題,
雖然是administrator還是獲取不到用戶名密碼,提權,
kill掉360殺毒的行程,提權,
winserver 2008,直接土豆提權,獲取system權限,
獲取憑證拿到administrator的密碼,其實這里也可以直接該密碼的,
shell net user administrator xxxxxxxx
這里因為能提權還是算了,
內網穿透
做隧道的時候看個人習慣,比如說frp、proxy-admin、nps等,這里還是根據情況選擇,frp做穿透組態檔要求直接寫死,修改埠比較麻煩;proxy-admin做穿透,不支持socks協議,僅支持tcp、http、udp協議,等等,所以我個人還是比較喜歡使用nps的,上線之后隧道隨意搭建即可,
新增客戶端之后,目標服務器上傳客戶端和組態檔,
目標服務器上線,
搭建隧道即可,查詢RDP開放情況,
利用tcp隧道埠轉發,
連接遠程桌面,
這里有向日葵是一直開放的行程,也獲取到了向日葵的控制碼,但是不建議連接向日葵,目前版本的向日葵因為需要登錄連接,連接的時候會顯示主機名,且這個日志官方是有的,我這里是授權的,非授權的情況下是完全可以溯源的,
查詢RDP連接記錄,發現一臺機器可直接遠程桌面,
另一臺服務器權限拿到,但是不出網,
轉發上線
因為不出網轉發上線,第二服務器,這里稱為B,關閉B的殺軟和防火墻,
上傳exe,執行,實作轉發上線,
發現B為A的資料庫服務器,且內網有報表系統,但是沒有用戶和密碼,而后發現有意思的一點兒是,這臺服務器上有,
套賬解碼工具,管理員可能也經常忘記密碼吧,解碼獲取內網報表的系統賬號,
內網系統埠轉發出來,走http代理,成功登錄系統,
內網掃描
這里使用了幾種工具做的內網掃描,掃描了10的A段和192、172的A段,
總結
整體來說難度不大,沒有域,難點在免殺,能拿報表系統是巧合,轉發上線沒意外,似乎內網環境比較大,但是在進行埠掃描的時候發現無埠開放情況,且不同的工具探測到的存活主機數目也不相同,可能是DMZ區也說不定,但是也沒探測到該段有任何安全設備,這個是比較奇怪的地方,檔案都比較老了都是幾年前的資料,這里可能服務器已經很早就做了隔離,但是能拿到的資料和能拿到的權限都已經拿到了,可以結束了,
更多靶場實驗練習、網安學習資料,請點擊這里>>
合天智匯:合天網路靶場、網安實戰虛擬環境
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/526884.html
標籤:其他