记一次外网到内网服务一条龙

  • A+
所属分类:安全文章
记一次外网到内网服务一条龙

洞安之道

洞安之道



实验步骤:

美好的晚上从四人开始日菠菜站开始。

首先对目标站点进行信息搜集,很常见,但是这个小站居然设置了访问限制,好家伙

我直接nmap把我自己扫没,没办法......只能挂代理了,愁!

设置了访问策略那漏扫也差不多么得了,更不用说啥sqlmap,弱口令了,扫描和爆破几乎是不能用了(原谅我们没有那代理池,如果代理池足够大的话直接python换代理爆破理论上也是可行的


记一次外网到内网服务一条龙


很朴素的页面,就这种小站xsssql注入的点应该一堆。

首先玩一下,来个xss虽然对于getshell没有任何吊用,但是哎,就是玩儿。

记一次外网到内网服务一条龙

xss打一下没什么鸟用,看看原因

记一次外网到内网服务一条龙

好吧,编码处理掉了,反正随便一玩儿,也懒得绕了。



开始直奔主题,先拿个web的权限进服务器。

先盲猜一手漏洞。

上传点:为登陆后用户头像

记一次外网到内网服务一条龙



sql注入点:为登陆用户名与密码

记一次外网到内网服务一条龙



溢出点:为cookie与用户名密码

bp访问站点可以看到cookie携带的数据还是不少的

记一次外网到内网服务一条龙


柿子还得挑软的捏,有个上传那不美汁汁?所以直接查看页面框架找到相应的服务器类型往上上传木马。


记一次外网到内网服务一条龙


wappalyzer检测页面框架,对于ip限制策略办掉漏扫这种小工具还是挺实用的,再次吐槽一下这小破站还要开访问限制, *  *

记一次外网到内网服务一条龙


可以看到用php编写,那直接先来手php木马传一下

记一次外网到内网服务一条龙



免杀马奉上,可惜后面才知道这服务器垃圾的很没杀软,只有防火墙做限制。

记一次外网到内网服务一条龙



这不直接白拿???连数据限制都不做???看一手bp再传一波包确定一下好吧。

记一次外网到内网服务一条龙



oh~~shit 马的chrome上传有限制只能上传规定的文件,这边只能在firefox上做了,换。

记一次外网到内网服务一条龙



这上传起来多舒服。直接上php

记一次外网到内网服务一条龙



之前用chrome登陆是可以做到单点登陆的,基本确定服务器用到session或者在客户端设置cookie了,查看数据包没有sessionID,基本确定用到cookie存储用户数据了,这时候看xss其实也是不错的。

但是最坑爹的是数据做了编码处理,分析一下这个编码的作用:

如果我们是正常用户,我们上传头像,但是我们一定要查看头像,但是头像可能会在客户端上传编码,到达服务器保存编码数据,数据返回客户端进行解码,数据到我们手上还是我们上传时候的数据,首先js是不能做这种处理的,唯一可能的就是在服务端处理后传输回来,或者服务器收到直接解码。

记一次外网到内网服务一条龙



上传的数据没被杀???并且请求的image下载下来查看还是php源码数据,这编码感觉就很鸡肋了,不过还有一个更坏的消息就是服务器直接把文件名和文件类型改了,这不很麻烦。

那就一步步试错吧,先考虑服务器那边在上一步提交的post参数里面传输了name,那服务器那边做判断的时候可能会对name做处理,可以尝试在name上做点东西。然后cookie和其他传入参数的溢出还没开始做。

但是想到windows iis 7.5版本会有一个解析漏洞,于是直接抱着试一试的态度搞了一下

记一次外网到内网服务一条龙



马的,直接成了。那这不就好说了。

上蚁剑直接连

记一次外网到内网服务一条龙



连不上,但是服务器的的确确能解析到这个马,可能是防火墙对蚁剑流量做了过滤,难道要自己发包一步步整?想到了蚁剑流量过滤,我直接用菜刀,找了一个很古老版本的菜刀试一下。

记一次外网到内网服务一条龙



果不其然,连接成功,到了服务器那不好搞了?

看一下补丁,好家伙一百多个拿个锤子搞。

记一次外网到内网服务一条龙

直接cs上号吧。

记一次外网到内网服务一条龙

虽然没啥思路,但是四个人用一台cs服务器聊聊天还是很舒服的。

既然进了服务器那就必须搞点啥了,扫了一下内网服务器没集群,有点捞,算了直接逛逛服务器吧。上面还有不少大马,看来是吃剩下的。

记一次外网到内网服务一条龙


还是接着提权吧,cs挂上监听器直接用马上传个cs反弹shell连上

甜土豆打一下,没想到直接进system了哈哈哈哈。

记一次外网到内网服务一条龙


拿到shell后也是晚上一两点了,留个后门走吧。

记一次外网到内网服务一条龙

加个隐藏admin用户设好密码走了

记一次外网到内网服务一条龙

记一次外网到内网服务一条龙

    小编:Clown、Sud0day       技术人员:南辰、GalaXY、GalaXY、夕惕



  

洞安之道 一个安全公众号

记一次外网到内网服务一条龙

记一次外网到内网服务一条龙
长按,识别二维码,加关注



本文始发于微信公众号(信安小屋):记一次外网到内网服务一条龙

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: