记一次艰难的web打点

01

前言

由于近期参加了某地区的攻防演练，近期会分享几篇关于本次攻防演练的文章，写的比较水。如果写的不好的地方，还请各位师傅指点。

02

外网打点

当时开始打这个站的时候，发现旁站有个弱口令，进入之后没什么漏洞点，也没什么上传功能，所以简单浏览了一下，就没接着看了

一开始发现有一个目录遍历，把里面的东西都看看，看看有没有什么敏感文件。

打开FileService.asmx文件的时候，发现有一个savefile功能。

这边有个上传接口的示例，需要的条件有filePath、fileName、bytes，不知道路径是啥，所以就先搁置了。

在目录遍历里面，发现有log文件夹，在log文件夹里面有相关的日志，这样子就获取到的文件的绝对路径。

需要的条件都存在了，这样子就可以自行构造数据包，进行上传，上传的时候坑也比较多，因为目标机器上有sxf edr和360结果普通的马儿上去直接被秒了，别问咋知道的，上去之后发现的，这里的马子也是用编码绕过去的。

成功之后查看一下权限，iis的权限，虽然很低，但是问题不大。

查看了一下补丁。

发现存在一个域，难得这种小地方的hw尽然存在域。

权限比较低，所以说上线cs试试，查看了进程，发现存在360杀软、深信服edr，问题不大，可以免杀，一把梭哈。

System Idle Process              0 暂缺                                      
System                           4 暂缺                                      
smss.exe                       272 暂缺                                      
csrss.exe                      384 暂缺                                      
wininit.exe                    448 暂缺                                      
csrss.exe                      456 暂缺                                      
winlogon.exe                   500 暂缺                                      
services.exe                   540 暂缺                                      
lsass.exe                      548 Netlogon, SamSs                           
svchost.exe                    620 BrokerInfrastructure, DcomLaunch, LSM,    
                                   PlugPlay, Power, SystemEventsBroker       
svchost.exe                    664 RpcEptMapper, RpcSs                       
svchost.exe                    760 Dhcp, EventLog, lmhosts, Wcmsvc           
svchost.exe                    784 Appinfo, BITS, CertPropSvc, DsmSvc, gpsvc,  
                                   IKEEXT, iphlpsvc, LanmanServer, ProfSvc,  
                                   Schedule, seclogon, SENS, SessionEnv,     
                                   ShellHWDetection, Themes, Winmgmt         
dwm.exe                        820 暂缺                                      
svchost.exe                    828 EventSystem, FontCache, netprofm, nsi,    
                                   W32Time, WinHttpAutoProxySvc              
360rps.exe                     900 360rp                                     
svchost.exe                    940 CryptSvc, Dnscache, LanmanWorkstation,    
                                   NlaSvc, WinRM                             
svchost.exe                    584 BFE, DPS, MpsSvc                          
spoolsv.exe                   1128 Spooler                                   
svchost.exe                   1176 AppHostSvc                                
svchost.exe                   1380 TrkWks, UALSVC, UmRdpService              
VGAuthService.exe             1400 VGAuthService                             
vmtoolsd.exe                  1552 VMTools                                   
ManagementAgentHost.exe       1780 VMwareCAFManagementAgentHost              
WmiPrvSE.exe                  2188 暂缺                                      
svchost.exe                   2864 TermService                               
svchost.exe                   3056 PolicyAgent                               
dllhost.exe                   3124 COMSysApp                                 
msdtc.exe                     3348 MSDTC                                     
taskhostex.exe                4028 暂缺                                      
ChsIME.exe                    4084 暂缺                                      
explorer.exe                  3324 暂缺                                      
vmtoolsd.exe                  4936 暂缺                                      
360sd.exe                     4988 暂缺                                      
360rp.exe                     5072 暂缺                                      
ctfmon.exe                    5188 暂缺                                      
ChsIME.exe                    5216 暂缺                                      
csrss.exe                      748 暂缺                                      
winlogon.exe                  5296 暂缺                                      
dwm.exe                       3704 暂缺                                      
rdpclip.exe                   5944 暂缺                                      
explorer.exe                  4904 暂缺                                      
ctfmon.exe                    2712 暂缺                                      
ChsIME.exe                    4840 暂缺                                      
svchost.exe                   6336 W3SVC, WAS                                
inetinfo.exe                  7996 IISADMIN                                  
csrss.exe                    10228 暂缺                                      
winlogon.exe                 12200 暂缺                                      
LogonUI.exe                    916 暂缺                                      
rdpclip.exe                  11924 暂缺                                      
dwm.exe                      11476 暂缺                                      
ChsIME.exe                   10536 暂缺                                      
csrss.exe                    11800 暂缺                                      
winlogon.exe                  9736 暂缺                                      
dwm.exe                      10560 暂缺                                      
taskhostex.exe               11204 暂缺                                      
rdpclip.exe                  11480 暂缺                                      
ChsIME.exe                    3412 暂缺                                      
explorer.exe                 10960 暂缺                                      
ServerManager.exe             9872 暂缺                                      
unsecapp.exe                  8068 暂缺                                      
abs_deployer.exe              7820 abs_deployer                              
edr_monitor.exe               7420 edr_monitor                               
sfupdatemgr.exe                260 暂缺                                      
mss_deployer.exe             10272 暂缺                                      
lloader.exe                   1648 暂缺                                      
conhost.exe                   9064 暂缺                                      
sfavsvc.exe                   5524 savsvc                                    
svchost.exe                  12880 WerSvc                                                                         
edr_agent.exe                 9352 暂缺                                      
w3wp.exe                      1460 暂缺                                      
cmd.exe                      14272 暂缺                                      
conhost.exe                  13476 暂缺                                      
tasklist.exe                  8076 暂缺                                      

　　‍直接白加黑上线cs，上线之后用烂土豆提权。

03

内网渗透

存在域，所以说先要收集一下域信息，查看了域用户，net user /do发现有七百多个用户。

查看了域控，定位到域控。

查看一下存在哪些域管。

查看到当前登录的用户，发现存在域管，这样抓个密码就可以直接获取到域管的密码了，有目标是win2012，无法抓到明文，可以通过psexec等工具可通过hash进行横向，因为目标机器上都存在了sxf edr 所以说大几率存在好多台服务器都存在杀软，切勿直接横向。

由于cs的马子是免杀的，可通过cs的mimikaz直接抓到密码。

查看了域信任管理，发现真的好多好多子域，起飞。

查看域的口令。

这台机器上登录了域管账号，注入域管进程，这样就可以利用域管的凭据，导出域内所有hash，由于是地方性hw，分数刷完就没有深入，文章比较水，主要就是给大家科普一下SOAP 也可以文件上传。

04

总结

其实整体比较简单，相关的漏洞啥的网上都能找到，主要还是信息收集这一块，毕竟渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

作者：热水

原文始发于微信公众号（实战安全研究）：记一次艰难的web打点