中国网络渗透测试联盟

标题: 渗透测试百货中国内网纪实 [打印本页]
作者: admin    时间: 2018-10-20 20:16
标题: 渗透测试百货中国内网纪实

. G6 I4 ^$ k5 w3 |: @
9 L, T" r, x& T2 P

4 d. Y: n4 ?' W% A4 [5 F' t

0 t" p0 l& l& g% ? H# R3 L 1、网站弱口令getwebshell
( L; D& ^; M# s$ W3 P/ A 经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
; d6 a# @* B- ?, m
( T* P5 f' ^0 |- h1.png
; Z) c" Q$ u5 B8 {$ x
8 B- V) j, X0 i9 P+ u2 T! U
6 u$ D* z2 j' c' K. r3 o; ^; v然后去找地方上传,上传的时候发现虽然配置了aspaspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
# j \ f+ S9 Q) Y: J4 U2 G7 O2.png
6 o8 G0 H) o R0 N* R
, F$ Z5 G/ M w9 d/ W7 b9 ^$ n
! b- O' k+ B0 r7 o/ y' |) _2、各种方式尝试反弹3389
# c9 C$ ^2 ^5 g5 {, a. e4 T 拿菜刀连接执行ipconfig /all,发现是内网,如图:
1 J; ~& K/ t. o7 B 3.png
1 u' V; R( e$ l) X" A2 Q
; Z, A9 }# ^, w6 ]+ J服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunnareDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
; B, l4 g. K5 b4 C. C
C1 }2 |8 f5 r TCP/IP筛选在注册表里有三处,分别是:
4 ~! p7 v+ O7 d R* W' y2 R% H HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
' }" k# C4 t) D- Z2 v3 o! F% p HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
; }7 f \5 A4 `- V4 r# K KHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ ~, q8 D$ t& n' @% e 
4 t4 Y( @/ A+ R( l6 }4 R 导出到自己所指定的目录进行修改:
J# K* [. u$ I) `& P* ?" X regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip   
( k: S+ m5 F8 V3 {" G) C6 @5 q regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip   
8 t. a; g9 h, m regedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip  
0 U. c R6 D9 ^. T% }. f8 D 
( G' O' \( n% b. }3 E4 `. E( H然后再把三个文件里中的:
2 C: \0 a: X# H, }: c' \& v: X“EnableSecurityFilters"=dword:00000001”改为:“EnableSecurityFilters"=dword:00000000”
% `6 v W# g+ N1 a再将以上三个文件分别导入注册表:
: K3 I- I! Z9 A: |regedit -s D:\网站目录\1.reg
2 B( I* z% A4 C# z& X; c0 o regedit -s D:\网站目录\2.reg
% v5 e" m2 S& m: [' N; J regedit -s D:\ 网站目录\3.reg
3 ]2 l. x D# ]/ o$ U' o重启服务器即可!
# d3 m) u) a/ c但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
# A5 n+ x( `; Q# t- h& E$ v' b
2 m6 ]$ { n3 F5 A `- Q% @ l( ]4.png
. Z! a( I L* Y9 d1 [4 {
3 I2 k0 `8 {4 l, O) G8 p% S" ?& U 然后还需要安装个程序SocksCap,然后加载如图:
2 `4 B' P- J( A
: ^1 t' G% ]; j6 T 5.png
( \! t0 c0 |' h5 i下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
% D* n& ]) `: h2 V9 ^2 ^: l
0 d# y" u9 H! x6 v) G# t( o) p, V
' y" Z* ]* n6 I9 X( ?, z6.png
) p, x Q2 H. Z: ^3 E
- t) {* V2 e2 L. I0 @: P: q3 D 既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
- m9 v& N/ t0 I7 b3 ~) @1 K' w# s
9 G+ F5 v: k( w, i0 O
4 {# x" U3 _ X; [1 ~7.png
: B) G$ D0 k9 q* S, x1 I6 O9 W
$ D" K* N6 t, N1 a$ s: I2、数据库提权与ms15-051提权双进内网服务器
+ o! y' I+ k- TOK,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
* v9 G* e' l9 n6 L, A; @7 \% n 8.png
9 E, Y9 `( M$ _
8 b' s& o. O; ]: W9 w
6 y8 z8 P, W) H+ z添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
4 k1 p" c" j% p( J
3 O0 a0 R. ?, }9 O' u3 }
6 I% X- u& _# x! M 9.png
- U# y+ D; j" r 同样添加账号密码,终于进了目标站的远程桌面如图:
) G% ?- ]7 H8 Y& i, |7 k! c1 p10.png
, n1 T- `# K+ b9 J9 `0 ~" M/ P总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 9 @) B& Z0 H2 p$ J

5 {: v" d. t) D# Q1 L: H R

2 W9 ]3 F' L, _8 B
7 A- G1 z5 d' l





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2