渗透实训-记一次艰难的打点过程

admin 2024年7月2日00:25:00评论11 views字数 1794阅读5分58秒阅读模式

*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。

近来忙忙碌碌忙ui忙后端,终于抽出空来完成一次渗透测试

一.信息收集

渗透实训-记一次艰难的打点过程

开局一个登录框,反手就是一个弱口令。失败

看看f12

渗透实训-记一次艰难的打点过程

请求表单如下,但可进行多次爆破,这里先让bp跑一会儿

翻翻js文件

翻到好东西了,差点给我嘴笑裂开了

渗透实训-记一次艰难的打点过程

直接开始爆破账户,先等着吧,我们看看还有没有什么其他好东西

目录扫描一下

爆破了几个目录出来,存在一些未授权访问,最激动的是,扫出来个大的!!站长搞忘删掉的备份文件

渗透实训-记一次艰难的打点过程

680mb,好家伙,让他下会儿,我们看看其他未授权的文件夹

js目录下随便翻了翻,js文件均没有暴露账号

image目录也没有靓仔的地方,只有一些私密的信息

渗透实训-记一次艰难的打点过程

config跟log目录更是乱码,浏览器改变了编码方式也是,是个比较老旧的系统了

这时候bp爆破结果出来了,两万多条的字典居然一个都没爆破出来

哀叹一声,开始源码审计

渗透实训-记一次艰难的打点过程

整个目录结构如下,首先我就兴冲冲的翻了几个config为首的配置文件和login相关的接口

渗透实训-记一次艰难的打点过程

有几个这样类似的password和userid,均登录不上

二.打点

1.历史漏洞

看目录结构有点眼熟,于是根据图标hash值发现了历史漏洞,但一试发现上传目录根本没有执行脚本的权限

渗透实训-记一次艰难的打点过程

遂作罢

中间上了个厕所,翻了翻旁站,发现有个差不多类似的系统和一个主站,主站之前渗透过,没有什么大不了的信息

无奈之下,继续源码审计

渗透实训-记一次艰难的打点过程

山重水复疑无路,柳暗花明又一村

在一个被遗忘的角落

发现ueditor编辑器,直接开始ueditor任意文件上传

2.ueditor任意文件上传

验证poc如下

UEditor/net/controller.ashx?action=catchimage

显示这个的话,多半有戏

渗透实训-记一次艰难的打点过程

别看网上那些花里胡哨的漏洞利用方式,什么本地html加服务器部署图片马

linux和windows都行,搭建简单http服务

python -m http.server port

准备一个aspx木马把它改成图片后缀,然后发送如下数据包

渗透实训-记一次艰难的打点过程

sources[]后面

渗透实训-记一次艰难的打点过程

发送数据包会回显路径

进行访问!

渗透实训-记一次艰难的打点过程

gggg,会被拦截至登录页面,看来这个方法行不通

3.kindeditor漏洞上传

在小小的目录里面翻啊翻

终于在一个微不起眼的目录下发现了kindeditor

开测

首先需要访问js文件查看版本

kindeditor-min.js

渗透实训-记一次艰难的打点过程

4.1.7可测

根据不同的语言环境验证不同的poc

 kindeditor/asp/upload_json.asp?dir=file

 kindeditor/asp.net/upload_json.ashx?dir=file
 ashx/upload_json.ashx?dir=file

 kindeditor/jsp/upload_json.jsp?dir=file

 kindeditor/php/upload_json.php?dir=file

渗透实训-记一次艰难的打点过程

验证成功

这里poc可以回复公众号 kindeditor编辑器 进行获取,需要搭建html进行本地流量转发渗透实训-记一次艰难的打点过程

成功进行上传,可惜不能上传脚本文件,只能提交一些鸡肋漏洞(xss)

4.上传接口测试

再进行了长达两个多小时的接口代码审计

终于fuzz出了一个接口,且接口有回显文件路径

访问

上传木马内容进行访问

渗透实训-记一次艰难的打点过程

500,有戏

渗透实训-记一次艰难的打点过程

成功连接

三.单机内网环境

whoami命令

渗透实训-记一次艰难的打点过程

权限很低,且进程中存在360杀软,

上传免杀木马

有点卡,等待半分钟

成功上线

渗透实训-记一次艰难的打点过程

systeminfo看了一下,windows server2012,直接juicepotato提权

成功拿到system权限

渗透实训-记一次艰难的打点过程

单机无域,且端口就如先前所说,开放了三个web服务

mimikatz提取不到账号密码

渗透实训-记一次艰难的打点过程

fscan扫了一下,扫出来了之前三个已经测试过的漏洞

渗透实训-记一次艰难的打点过程

还是无用

浏览器密码抓取了一下,出货

这谁能想到密码是这样的啊

渗透实训-记一次艰难的打点过程

渗透实训-记一次艰难的打点过程

发现是某处大学的管理系统

最后,在系统内发现了todesk

通过替换配置文件成功获取clientid和临时密码

渗透实训-记一次艰难的打点过程

渗透实训-记一次艰难的打点过程

注意执行对应exe的时候需要双引号,避免识别不出

渗透实训-记一次艰难的打点过程

大功告成,写报告撤退

四.总结

1.打点要耐心,一定要每个细节都不放过,去搜搜,积累自己的漏洞文库
2.上传接口每个都试试,总会有惊喜的
3.信息收集莫急躁,关注敏感目录


原文始发于微信公众号(迪哥讲事):渗透实训-记一次艰难的打点过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月2日00:25:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透实训-记一次艰难的打点过程https://cn-sec.com/archives/2907532.html

发表评论

匿名网友 填写信息