红队实战攻击之随缘测站(下)

  • A+
所属分类:安全文章

这是 酒仙桥六号部队 的第 107 篇文章。

全文共计1920个字,预计阅读时长6分钟


序言

大家好,作为一个练习时长两年半的安全实习生,继上一篇随缘测站,又增加了10多天的经验,感觉距离大佬的世界又近了一步~


正文

上篇文章中拿到的那台linux并没有找到什么可以继续横向利用的点了,于是又开始了一波漫长的信息探测。

把x-ray挂到服务器上批量扫漏洞,扫了两天两夜,找到了一个可以利用的sql注入,权限不大,不能直接写shell,那就读取账号密码,登录到后台。

红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

拿到账号密码登录到后台,找到了上传点,测试了一下,发现是做了白名单限制,试了几个绕过方式之后,就放弃了。

继续寻找,看到有数据备份,尝试数据备份拿shell,开启抓包,然而不能修改物理路径和备份文件名,也无法利用。

红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

继续翻,这时候看到设置里面,可以修改上传附件类型!机会来了~加上php

红队实战攻击之随缘测站(下)

再找到那个上传点,上传个图片马,上传成功!

红队实战攻击之随缘测站(下)

复制路径,放到网页上查看,解析成功,再用蚁剑连接,好了,shell连接成功,权限是administrator。

红队实战攻击之随缘测站(下)

到cs里生成个powershell的马,放到蚁剑中运行一下,cs上线成功,获取一下密码,获取成功,但是密码挺复杂的,并没有明显的规律性。

红队实战攻击之随缘测站(下)

没办法,用Ladon的cs插件探测一下存活网段试试。

红队实战攻击之随缘测站(下)

探测同网端下有94台主机存活,并且识别出了网站域名信息,Ladon还是强!

红队实战攻击之随缘测站(下)

随便看了几个网站,发现有个网站上面包含了一个网段信息,先拿小本本记下来。

红队实战攻击之随缘测站(下)

好的,接下来挂个代理先,顺便测试一下新下的cs脚本。

红队实战攻击之随缘测站(下)

但是他这个frp的版本太低了,于是好奇心来了,不会代码的我决定看看他的脚本。

红队实战攻击之随缘测站(下)

根据对应的顺序看,内网穿透调用的是modules/Intranet penetration.cna

红队实战攻击之随缘测站(下)

第一步:在cs选项设定上传路径,传参给变量$bid。

第二步:通过bupload参数上传到$bid定义的路径,后面script_resource指定要上传的文件。

第三步:跟第一步一样,在cs设定运行的参数ip和port。

第四步:bshell调用命令,执行modify.exe -t ip -p 端口。

第五步:删除文件。

红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

看完之后就开始改脚本了,根据运行逻辑,复制粘贴,改改路径就是这个样子了。

红队实战攻击之随缘测站(下)

尝试上传,完成之后去翻目录,确定上传成功!

红队实战攻击之随缘测站(下)

再点击运行,运行成功,vps上监听的frps也收到连接请求。

红队实战攻击之随缘测站(下)

研究明白之后,发现cs脚本还是很简单的,毕竟我这样的小白都能看得懂,get新技能,23333

代理挂上之后,先用拿到的账号密码扫一波rdp端口,只测出了本机的账号密码,啥也不是。

红队实战攻击之随缘测站(下)

所以继续,先登录上去再说。

红队实战攻击之随缘测站(下)

翻了下磁盘,只看到了webconfig里面保存了数据库的账号密码,并没有发现其他的有用信息。

红队实战攻击之随缘测站(下)

但是看到这个账号密码。。账号是该网站的子域名,而密码,跟之前搜集到的密码是一样的。灵感突然就来了,那会不会其他的主机也是这样的规律呢?

废话不多说,先探测一波1433

红队实战攻击之随缘测站(下)

把这几个站的子域名添加到账号字典,再扫一波,出来两个。

红队实战攻击之随缘测站(下)

nice,兄dei!连接成功!

红队实战攻击之随缘测站(下)

还是熟悉的配方,启用guest账号。

**net user admin1$ ***** /add**
**net localgroup Administrators admin1$ /add**

红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

然后连接338。

红队实战攻击之随缘测站(下)

上传mimikatz,右键以管理员方式运行:

**privilege::debug**
**sekurlsa::logonpasswords**

没有解出明文密码,可以尝试解下hash。

红队实战攻击之随缘测站(下)

将ntlm hash丢到cmd5里面去解,还真解出来了。

红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

看到这个密码,愣了一下,跟之前获取到的密码差不多,于是乎,翻出之前做的记录,一对比,凭借我密码吧推理吧签到14级的身份,一眼看穿了其中隐藏的玄机,这里不好贴出密码,就写个差不多的形式做一下对比。

例子:

**192.168.12.19**
**fsads24#!f31**
**192.168.12.76**
**fsads24#!f88**

仔细一看,大脑疯狂运算,此时柯南附体,真相只有一个,(--此处为bgm,自行脑补--)密码总共12位数,包含数字字母特殊符号三种,不偏不倚,刚好踩在服务器密码的规则线上,前十位数不变,唯独最两位变化,提取数字,拆分因子,脑中不自觉的想起了勾股定理,后两位刚好为ip后两个字段相加12+19=31,12+76=88,那这个结果就不言而喻了。

为了验证这个想法,又随便找了台同网段的试了一下,登录成功!

那么其他网段试试,也登录成功~

山重水复疑无路,柳暗花明又一村。


总结

有选择的时候,不要死磕一个地方,一个地方搞不通,换一个地方就行了。

搜集到的所有东西都要记得做好笔记,说不定什么时候能派上用场。

找到规律能节省很多事吖AvA


红队实战攻击之随缘测站(下)

红队实战攻击之随缘测站(下)

本文始发于微信公众号(酒仙桥六号部队):红队实战攻击之随缘测站(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: