找回密码
 立即注册
查看: 1984|回复: 0
打印 上一主题 下一主题

渗透测试百货中国内网纪实

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:16:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 w. y% I1 O! T3 h9 [1 E; x# _$ Z
7 r% E9 a) S& I5 t* d

; t8 Q+ K: L3 n3 z: d: r7 o$ q8 Q

0 |* v7 J8 X: N C6 M; `( r7 X! b3 c 1、网站弱口令getwebshell
8 R7 W% [1 F# F' J% L% U% c
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
. k6 m, N0 Q; [* U* o) c
. [4 N+ P% B/ C- E 1.png
. \9 `/ S2 m3 A
) P$ u5 X9 f0 R% v4 o9 c& p8 G
- z6 y, B5 g+ [9 a/ \; d1 l& i
然后去找地方上传,上传的时候发现虽然配置了aspaspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
( i! m6 [7 J3 ~* i 2.png
( U9 @+ q6 ~ v w" [* z1 F
E3 T: j% `$ D7 y2 \" _; {- G
- c6 K: K* O4 I 2
、各种方式尝试反弹3389
* b' \% W* ]9 H8 i! V; s
拿菜刀连接执行ipconfig /all,发现是内网,如图:
: V' h* S, n: c b$ ~ 3.png
2 T; l" O8 ^/ g, p" R+ }
: E; W, f) Z4 Q4 v; c6 j/ ]! q4 X* I
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunnareDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
$ L) a1 r& m/ n/ _% @# f$ _
1 f _1 H7 @3 M$ J! f" V) b) C TCP/IP
筛选在注册表里有三处,分别是:
( \& a. x- ?" W! p: r! ]7 y HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 x4 l. M/ v2 A5 D$ ZHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
" ~0 ?' q! [0 CHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 c/ }3 o+ A5 l/ \0 `; C5 f  
& q7 [. `8 u% v; f1 n- a' g9 ]
导出到自己所指定的目录进行修改:
& H& D0 N. }" \* ~' x/ P regedit -e D:\
网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip   
# v: _( B4 x: z9 R- L/ [$ y regedit -e D:\
网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip   
! Y# _0 p, @; \- p5 y regedit -e D:\
网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip  
- v4 `! j" }+ t' q  
+ K" G5 F; E& R: y2 u
然后再把三个文件里中的:
2 Y2 e. @0 m, @2 H0 a% i* i: x: T. T “EnableSecurityFilters"=dword:00000001”
改为:“EnableSecurityFilters"=dword:00000000”
6 ], o; W! w/ y R! }
再将以上三个文件分别导入注册表:
6 N% T6 F5 V3 q* J, ~9 ]- i regedit -s D:\
网站目录\1.reg
7 o+ V j" n& j7 h& V/ Iregedit -s D:\
网站目录\2.reg
! Z) N; k4 H% o! i: w5 e2 s regedit -s D:\
网站目录\3.reg
9 U2 l( i$ d4 f8 R1 M$ Z# d: O
重启服务器即可!
; n0 l+ L3 W/ g/ o+ N/ y6 r2 O+ e
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
) b% [7 L% f# P/ p" {- L0 E" I
" c* p( P! t# d% l4.png
4 r) t# {8 p' ^" K
7 x* O6 z* S" o
然后还需要安装个程序SocksCap,然后加载如图:
( s8 a$ f- I, ]" K: S
( }+ l9 j- F, p1 x3 v 5.png
6 s0 {! d& I1 a3 Q5 ^& d
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
$ X& S2 e. `, T2 X g+ O
$ K9 ^- R b4 [9 { h3 t
3 o* i* l# d4 T& [2 b# f0 ~6.png
$ Q! U, R9 Z8 d) _2 C5 T
( r8 D. w5 _2 N+ S
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
. [9 ]* x) c; v' O5 z6 E
: y- U2 W, {; Z' g; o
# H5 ^7 Z4 }0 I9 x 7.png
4 `; U8 K% j9 j+ Y, v( K
$ q: y0 k! B3 D) I7 d- g& |2
、数据库提权与ms15-051提权双进内网服务器
# ] P- V1 u$ C, ^& C OK
,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
8 K9 J$ S3 f7 ~% x 8.png
8 j6 f$ s0 \8 w) J- c& p
" ? A2 S- t6 B8 ]2 M
( o0 L9 y$ D) N$ d8 f
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
, f0 q9 f+ C) T" [
J; ~) V6 R- U: c
4 {. E4 k: N- r' D2 D% [9.png
! e* j$ t. V: Q; \9 z' q
同样添加账号密码,终于进了目标站的远程桌面如图:
. [! x7 C/ m- {# i2 d; q% b2 E 10.png

) ~* N& m; ] s' U
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 : n% L$ D! _; s, U

% z5 w* U7 a2 P. e9 Y/ [, A0 b/ {

# o7 J6 G7 W) P+ P2 g) {, q
6 [& u1 J- v$ M6 H* A7 [

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表