子域名遍历+端口爆破+目录扫描+文件上传getshell-实战外网打点

‍

0x01 资产梳理

        给定的资产，虽然给的不多，但是根据以往打攻防的经验来看，大概率有东西，如下，厚码请见谅！！！

将目标资产整理如下，首先先将域名进行一顿子域名爆破，然后对所有IP进行端口探测，推荐使用nmap-converter，直接配合nmap进行使用。

0x02 SQL注入

通过上述的资产梳理，以及每个web站点访问看了webUI，最终确定一个存在注册功能的站点系统，如下，通过注册功能进行注册，bp插件检测到疑似存在sql注入。

并且这时候，注册手机号收到4条短信验证码，好家伙，验证码轰炸也有，但是我们此次的目标是拿机器，所以短信轰炸就不管了。

然后我们直接将上述数据包保存，sqlmap一把梭，确实存在注入，但是无法--os-shell，所以无法进行更深一步利用，虽然我读取了站点管理员账户密码，进后台一顿操作，依旧没有可以利用的点，此路不通，放弃。

0x03 子域名爆破

此时看子域名爆破工具，已经爆破出来了一些子域名了，然后整理。

通过对爆破出来的这些子域名资产进行访问，发现均是失败的，并没有对应的站点。

通过抓包修改UA、XFF、ORI等相关请求头，页面都是没有任何信息，此时，我准（临）备（机）放（一）弃（动），爆破出来的这些子域名资产端口还没有探测，直接访问80端口没东西，是不是开放了其它端口，于是再次进行全量端口探测。

0x04 端口爆破

通过漫长时间的等待，果然，web服务是开设在其它端口上的，如下，五星红旗在迎风飘扬。

通过对站点登录名爆破、sql注入均没有任何收获，此时我又在想，这个站还没有对目录进行FUZZ呢，于是掏出我平时打攻防收集整理的字典开跑。

0x05 目录扫描

将一些无关紧要的状态码筛选过滤之后，整理存在的一级目录，再次进行二级深入扫描，经过漫长的等待，看最终的扫描结果，存在一个html页面，访问。

可以发现，这是一个单独的用于上传图片的功能页面，通过上传一张图片格式文件，可以正常上传无报错，表明可用。

0x06 任意文件上传Getshell

抓包拦截，根据之前的信息收集，确认这是一个.net环境的站，然后直接bp修改后缀名ashx，直接上传成功，但是响应数据包并没有回显文件路径，这里直接通过FUZZ，发现通过../../filename上传之后，会将文件上传到网站根目录。

浏览器访问webshell，执行命令发现直接是system权限。

再次上传一个后门，便于操作，使用蚁剑连接。