文章首发于个人公众号

本文纯属虚构，如有雷同，纯属巧合

一、漏洞

后台

测试登录参数的发现报错

Struts2，顺手试试struts2漏洞

运气不错！

二、反弹

第一反应是反弹给msf或者cs，先用powershell，无文件的还是比较隐秘。（这话有点打脸，其实应该先看下进程，排查下AV）

报错！

msf生成个exe，用bitsadmin 或者 certutil下载，命令运行正正常，但是发现文件并未落地。
排查下原因
新建个文件试试

没成功，判断是目录权限问题。

列了下盘符，在D盘下可写，下载成功并且shell反弹成功。

三、提权

先看下当前有没有可伪造的凭证

load incognito

list_tokens -u

发现并没有
看了下补丁

靠，补了两百多个，放弃

看IP的时候，发现有内网

然后祭出提权大杀器烂土豆，发现也都不成功，各种常规操作轮了遍，无果。

思路卡了一下。

后续翻看目录的时候，发现数据库用的是mysql，也许有可能通过mysql提权。
连个webshell，比较好操作。
一开始用struts2漏洞工具写webshell利用不了，想想既然都反弹回来了，就直接用msf的upload上传。
Msf的shell 操作麻烦，又联动给cs，然后就是运行目录查找，最终传了给冰蝎shell上去了。

查看数据库账户密码，发现是root root，好吧,弱口令.

顺手试试mysql外联，不存在的。

以前搞php的时候，直接有udf脚本可以提权，这jsp，只好动手看看怎么操作。

大概捋了一下，先看看数据库版本

5.0的，结果发现，低版本的的mysql 是需要把相关dll 传到
c:windowssystem32目录下。
直接从shell 试试上传到改目录试试，跟预想的一样，没有权限。
思路又断了。

渗透的本质是信息收集

那就再翻翻看看

翻到c盘安装路径时。看到这两个引起了我的注意
之前看端口的时候没意识到，看这个目录判断目标上可能安装有远控管理软件。
TV暂时没啥想法，看看ultravnc

这里有个配置文件，直觉有戏，打开看看

有password字段，拿去md5解密一下，发现解不出来
难道是直接使用密码，看了下里面的licence，去下载了对应的版本的ultravnc

直接连接发现并不能成功

再搜索下该软件

安排得明明白白，最后把密码解出来了，是一个4位数字

返回传个system权限的shell回来给cs，省的每次要操作得时候都要登录，并且登录上去太卡了，顺便进程做了下迁移

四、内网

之前看IP的时候，就发现有三张网卡，一个外网，两个内网，10 和1 网段
但并不是域控，只是一个工作组
cs加载了下k8的ladon，扫描下两个网段的主机，发现基本都是在10段
vnc登录的时候，发现上面也有个vnc客户端，打开看了下

发现有一些登录的历史记录，尝试直接访问看看能否直接登录，发现有个都连接不上了

因为vnc服务的主要端口是5900，直接对整个网段扫描

随便挑了了一个150的ip，尝试登录，发现跳出密码输入框，说明连接成功了
密码直接用前面解密出来的 4位数字，发现登录进去了。
其实从前面mysql的root 密码，就能猜到，估计内网使用的都是些弱口令或者统一的密码
本来想着vnc用的是4位数，可能想着需要爆破一下，结果连这个都免了

150这个ip的主机是可以上网的，但是因为vnc版本问题，exe没办法传送进去，后面直接用cs

然后目标机器浏览器直接去访问对应的地址，可以直接下载反弹回来了

因此基本有开5900端口的被拿下了
但是有个问题，每次都是登录进去被控电脑，然后再去连接其他台主机
再加上网络问题，整个连接非常卡

想了下，既然以被控机器做中转，而且已经反弹了个shell给cs了，直接cs上面做个socks代理

然后直接再本地用proxifiter

连接当前受控机器的内网IP，发现提示本地回连失败

搜索了下，说明需要在服务端开启允许回来，这台外网可以直连，就不去纠结这个问题。

其他部分内网机器

同个密码全部进去了。
至此告一段落！
附一张监控截图

写在结尾

文章转自圈子社区成员NGLing的精华贴，特此感谢NGLing的分享输出。

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担!

扫二维码｜关注我们

引领实战潮流，回归技术本质
汇聚行业新锐力量 推动网络安全进步
这是一个实战派白帽子的聚集地

本文始发于微信公众号（Secquan圈子社区）：渗透实战之弱口令沦陷工作组