一次流量代理卡到批爆的渗透经历

目标：某集团有限公司，主域名为abc.com.cn

通过信息搜集锁定某子域名xxx.abc.com.cn，此系统为招投标平台

前台没有功能信息，点击注册企业信息正常走一遍系统流程

登录之后界面如下

右上角有个使用帮助下载，下载下来是个word文档，点开看下发现系统存在上传点

找到系统对应功能点

选择图片文件上传抓包

发现发包后显示完成，回去查看系统并没有文件上传成功，多次fuzz发现存在内容检测，于是替换免杀webshell后上传成功

返回包中并无上传路径返回，于是返回系统查看

访问一下也发现成功上传并解析

哥斯拉连接发现连接失败

于是使用浏览器开无痕模式访问shell发现需要鉴权

哥斯拉配置cookie进行连接

连接成功

使用哥斯拉自带的提权工具进行提权

经过简单的主机信息搜集后发现不出网，准备搭建隧道进入内网做进一步横向，这里使用neo-regerog, 将aspx的服务端文件上传到web根目录进行访问

发现文件在web根目录依旧需要鉴权，刚好neo-regerog支持携带cookie访问，参数为 -c

代理成功，配置本地socks5代理为127.0.0.1:1080进行访问内网172.16.3.126，发现neo-regerog产生报错信息

这里有一个细节，系统跳转到了Default2.aspx，是不是代表Default2.aspx不需要鉴权就可以访问到？有人可能会说，你为什么不上传neo-regeorg里的tunnle.ashx文件，说不定可以绕过鉴权？答案是已经试过了，测试发现所有以.ashx结尾的文件访问都是空白不会被解析

于是去查看网站目录的web.config配置文件

发现以下信息，系统配置了所有的*.aspx结尾的都要经过一次aspnet_isapi.dll做一次鉴权处理

并且指定了错误页面重定向到default.aspx，说明此页面是不需要鉴权的

其次发现系统配置了default2.aspx为默认的帮助文档，也是可以绕过鉴权的

听听newbing怎么说

来看看*.ashx文件怎么处理的，所有以.ashx结尾的文件都会被AjaxPro.AjaxHandlerFactory里的AjaxPro.2函数处理，具体怎么处理的不去细看，可能这就是为什么网站所有.ashx结尾的文件访问都是空白不会被解析的原因

于是简单看了看Default2.aspx文件，发现此文件并不是系统必须文件，于是对文件做备份，将neo-regeorg的内容写进去保存

替换前

替换后

浏览器访问发现成功解析

系统对aspx做了鉴权，对ashx做了不解析处理，于是利用哥斯拉上传asmx后缀的shell方便后续渗透，也无需配置cookie，web.config配置文件中也未对asmx文件做处理

成功代理进内网，但是流量很慢，加载个网页要1分钟那种

代理也有了这时候准备先3389远程桌面连一波(此前已经对主机密码进行了读取)，结果又遇到问题

后来问了朋友说是可以修改administrator密码解决问题，于是修改后发现依旧爆同样的错，接着又去搜索发现是因为系统登录用户不能超过2个，否则无法连接

于是query user查看用户,logoff注销多余的用户会话

抱着期待的心情继续连接，发现依旧不行，在百度看到一篇文章，参考链接如下

https://blog.csdn.net/weixin_44758063/article/details/127653416

给到命令

reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCM GracePeriod

reg del HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerRCM GracePeriod /v L$RTMTIMEBOMB_1320153D-8DA3-4e8e-B27B-0D888223A588

执行完之后需要重启服务器...

没得搞不准备连3389了，刚好之前的配置文件配置了数据库，准备利用数据库这台主机做跳板

不出意外的话又不行

基本放弃，socks5流量很卡，内网基本不能深入了，甚至连数据库都是在哥斯拉上操作的

突然之间想到了之前聊天开的玩笑，世界上最屌的WAF，莫过于此，十个请求给你成功一次，成功一次5分钟给你返回请求。

好了，下面来谈谈BubBounty笔记这个星球的主体内容和特色了：

1.主要为web安全和开发相关的内容，这里的内容为本星球主要内容，为什么要有开发相关的知识，主要也是为了解决原理性相关的问题，后期在阅读源代码的时候不至于一脸懵逼......

目前的主体计划和内容大体如下所示:

风格大体上为每个专题尽可能先讲解基础原理性的知识，而后再讲解如何去找寻此类漏洞/问题,去提炼总结思路，有可能的话,尽可能转化为自动化

2.主要为计算机原理相关的内容,这一部分为副线，毕竟本人精力也有限，有时间就不定期更新内容，主要还是受猪猪侠的《我的白帽学习路线》启发而来。

原文始发于微信公众号（哈拉少安全小队）：一次流量代理卡到批爆的渗透经历