记一次平平无奇的渗透过程
2022-11-15 08:32:31 Author: 潇湘信安(查看原文) 阅读量:34 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

这篇文章由"潇湘信安技术交流群"@0x536d72师傅投稿,@3h整理发布,感谢分享!

本文内容均为虚构,如有雷同纯属巧合。祝大家工作顺利,事事如意,心情愉快,万事大吉,升官发大财!

0x01 信息搜集

渗透都是从信息收集开始这个无疑,推荐几个收集的平台。
https://search.censys.io      //端口收集扫描比较全https://hunter.qianxin.com    //可视化图形资产,可与fofa结合使用https://duckduckgo.com        //找后台比较无助的时候可以尝试site:xxx.com loginhttps://fofa.info             //资产测绘https://ww.shodan.io          //shodan

梳理目标隶属IP、子域、子公司、分支结构、旁站域名,从www.xx.xx主站下手通常都 是比较困难的,我们可以从子域、子公司或旁站入手。

利用duck浏览器搜索到目标的一个奇葩路径后台

平平无奇,验证码也没有

添加单引号报错,果断选择扔进sqlmap

之后跑出密码,登进去后台里面却发现并没有什么功能点,只是一些文章内容。
php系统嘛,那就翻文章看参数测注入咯。
小飞棍来咯,报错了继续扔sqlmap

这里说一下,后台登陆的地方注入和登陆进来后的注入,俩个地方使用的库是不一样的,所以出来的表内容也是不一样,但可惜都不是DBA没法直接shell。
这里设第一次跑的库为A,第二次为B

利用B数据库出的密码表成功登陆上了该目标的“几个”后台地址(manage、control) ,但可惜目标后台所使用的是ckfinder编辑器,并且修复了漏洞,都是白名单上传,一瞬间又丢了思路。

0x02 GETSHELL

梳理现有的密码表及资产,通过shodan插件发现此IP下还有其他的域名资产。

访问资产,在这锁定了EIP.XXX.com使用现有A数据库的密码表成功登陆该平台,且锁定了上传功能点,任意文件上传直接拿shell。

传shell之前在这有个小插曲,就是我担心发布公告动静会太大,一直没敢发包去传,导致在拿shell的时候卡了很久,其他系统后台的地方上传点都是白名单。

运气比较好,是域内用户,接下来就是抓hash、浏览器密码、导RDP链接记录,收集该目标机器上一切有关的信息数据,以上工具GitHub都有,就不放下载链接了。

0x03 内网渗透

当前权限比较低,利用哥斯拉自带的烂土豆插件提权,抓hash。

有时候运气好的时候谁也挡不住,一手hash”游戏结束”,抓到了域管的账密。
但突然反应过来我们要的靶标并没有在这个段中看见,只好埋头开找,好在老天不负有心人,还是被我在他们内网主页的界面中找到了靶标系统。

但这个资产并不是域内的机器,而是另一个段的工作组环境。自然用域管的账密IPC不 过去,但还是抱着侥幸的心里试了一下,万一账密一样呢?果然不出我所料密码错误咯。

既然是新的250段,那就上fscan轻扫一下咯(想着这个段里面能有其他资产可以打进去,然后抓hash再横向250.11,可惜这个段里面多数为打印机、门禁设备),这里建议在内网使用fscan的时候设置一下线程大小,默认线程是600,根据实际情况来降低线程并加上“-np -nobr -nopoc”参数(参考GitHub说明手册),仅探测banner信息即可。
探出该机器存在17010漏洞,不过我“怂”这个毛病还是犯了,担心打蓝屏的问题迟迟没敢出手,又导致了在这个环节卡了很久横不过去。实在没办法就去请教了张三师傅看看还有什么办法,他说: 怂个鸟?有漏洞打就完事了,里面有杀软的话(麦咖啡)就RDP过去给他停用,然后在他本地直接正向去打MS17010就行了。
这里由于目标机器不出网,采用了HTTP隧道,https://github.com/L-codes/Neo-reGeorg,RDP过来第一件事先停用杀软,接着就是扔exp用本地直接打,ms17010过程不在放图(添加用户+RDP连192.168.250.11)。

开启3389命令:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

放行3389防火墙:

netsh advfirewall firewall add rule name="Remote Desktop Protocols" dir=in protocol=tcp localport=3389 action=allow
在连RDP的过程中遇到一个小坑,解决方案参考以下链接。
https://blog.csdn.net/weixin_43693967/article/details/124623198

停用后,打payload,然后连192.168.250.11。

过去250.11以后抓一手hash,并没有抓到administrator的hash,那就导注册表咯。

reg save HKLM\SYSTEM system.hiv                         reg save HKLM\SAM sam.hivMimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

mimikatz解密出来administrator的NTML,然后去cmd5解密,运气好解出来了,是个弱口令,切换到admin用户,并删除之前新增的用户,接下来就是翻东西了。

全程结束

文笔较差!轻点喷。第一次写文章很紧张,本次只记录有效操作过程,内网中有很多段,但对我来说没有什么用,就没有去做。而且在打点的时候也兜兜转转绕了很多的弯路,“怂”这个毛病我得改改了,哈哈哈。

本次全程手撸无上线,内网横向其他机器翻文件的时候使用的是IPC、隧道RDP。
最后附上大哥的话:

打内网之前要弄清楚你要的东西是什么,当前位置在哪,要去哪里,管理员从哪里来,把内网中所有的信息全部收集干净,思路锊清之后再去操作。

没 有 授 权 不 要 渗 透!!!

没 有 授 权 不 要 渗 透!!!
没 有 授 权 不 要 渗 透!!!

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包

 还在等什么?赶紧点击下方名片关注学习吧!


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247499503&idx=1&sn=523048c7061c97e2453dd4978bf84469&chksm=cfa55afcf8d2d3ea1d19cdab15d38cb251b3f8f6490c8fcff80e56eb7eac4a504b40b97abac0#rd
如有侵权请联系:admin#unsafe.sh