0x01 对某目标攻击的复盘

由于HW中涉及的目标都很敏感，故本文截图较少，且都已进行脱敏处理。有些内容可能不太完整，望见谅~
就拿得分最高也是最有意思的一个目标来做下复盘吧，整个的攻击过程和方法是这样的：

1.Web打点

目标是一个asp.net的网站，能解析asp,aspx代码，访问时就只能看到一个登录框。大佬A的一顿操作发现了未授权访问(算是0day了吧，采用此程序搭建的其他系统都存在这个问题，且似乎只有我们团队发现了这个)，此程序存在未授权用户查看、添加、编辑和删除。通过未授权访问用户修改界面(用户uid=1)， 可以看到密码已填充，以*号显示，通过前端代码可以查看到明文，于是获得后台管理员账号密码并成功登录，获得200分。

在未授权用户编辑界面有一个上传头像的功能，此处存在文件上传漏洞，上传图片马，burp抓包将后缀改为asp即可绕过，返回状态码为500，但实际上文件是上传成功了的。

这是怎么知道文件上传成功了的呢？通过目录遍历漏洞找到文件上传路径：

通过时间比对找到我们上传的木马文件是哪个，接下来就是常规操作，用蚁剑连接成功。又获得200分！

不得不说，未授权访问-->文件上传-->目录遍历-->拿到webshell，大佬A强啊！！！

2.上免杀马反弹shell(Failed)

拿到的是一个IIS权限，自然是要反弹到Metasploit、CobaltStrike这类集成框架来进行后渗透、提权打内网了（虽然内网也没啥主机，但就是想打）。执行Systeminfo查看到是一台winserver 2012 R2的服务器，打了153个补丁，通过执行tasklist /svc查看当前主机上运行的进程，将结果拷贝到在线杀软识别平台进行比对，发现目标主机上装了360。

感觉有戏，于是我之前花了两天研究的C语言免杀派上用场了，上传了免杀360的马，是shellcode分离免杀的，目标上提示命令执行成功但没反弹回来，但在自己环境中能执行上线。不是被拦截原因，后面有场景会说明（相信有大佬大概知道什么原因了）。反弹失败，还是我菜的原因啊~

3.信息收集，数据库提权

通过信息收集，发现了这套程序还搭建在了其他目标上，于是大佬A又用之前的方法拿到了一台主机的webshell，通过比对，发现装了火绒。

于是再次用我的免杀马尝试CobaltStrike上线，这次成功了!!!

接下来提权，拿到的也是一台winserver 2012 R2的服务器，打了150个补丁，我加载了taowu和Lodan插件(20211024版，应该是开源的最后一版了吧)，试过了里面常用的提权插件都未成功，烂土豆提权失败，因为条件不满足；ms14-058反弹回来的是一样的权限。（这是拿到数据库服务器，演练快结束时的事了:将会话移交给MSF，使用MSF内置的CVE-2020-0787提权未成功，使用post/windows/gather/enum_patches模块来收集补丁信息，显示补丁都是在2021.12.1日打的；使用post/multi/recon/local_exploit_suggester 来查询哪些EXP可用，并没有显示有可用EXP。）

陷入窘境，大佬B通过信息收集翻到了数据库配置文件，原来这是一台站库分离的系统，数据库在另外一台外网服务器上(阿里云服务器)，配置文件中泄露了数据库服务器IP，端口，账号，密码，为SA权限，使用Navicat尝试连接，居然成功了!!! 获得400分
大佬C立马来个xp_cmdshell提权，成功拿到System权限，再获得200分！

System权限是在数据库中，为了方便接下来的渗透，思路是将System权限上线到CobaltStrike上，在此处执行了从自己的VPS上下载免杀木马并执行的操作，显示执行成功，但并未上线。猜测这是台阿里云的ECS，对出站端口进行了限制，所以反弹不回来。

4.拿下数据库云服务器

Shell反弹不回来，就不能对云服务器做更好的控制，不能算完全拿下，于是在大佬D的指导下，利用System权限创建一个管理员账户，然后3389远程桌面连接(没错3389开着，还没对连接地址做限制)，再利用Procdump+mimikatz获取到Administrator账户的明文密码。(因为是win2008的服务器，所以可以获取到明文密码，08之后的服务器获取到的就是密文的了)。这样才算是完全控制了这台云服务器。

为了探究为什么执行木马的命令提示成功了，但shell却没反弹回来的真正原因，在图形化下的 cmd窗口执行木马，惊人发现：提示缺少了某140D.dll，这才恍然大悟，这情况去年做python免杀实验时也遇到过，原来这是生成exe文件时的配置问题，当我们生成Release版本的时候，运行库选择MT；当生成Debug版本时，运行库选择MTD。不然的话就会造成在自己电脑上执行没问题，但在其他电脑上执行可能会提示缺少dll文件。于是重新生成了木马，再次在Navicat里执行，它居然上线了！它上线了！上线了！

真实作战环境，看到自己的CobaltStrike上线了一台System权限的主机，就感觉很刺激~

那之前有360防护的那台，是不是也是这个原因了，于是重新生成了木马，但传上去提示500错误，怎么肥事？后来在自己的虚拟机里用360查杀了下( 正经人谁会在自己物理机上装360，狗头)，我的马已经不免杀了，因为距离上次传的马，已经过了一天了。

5.内网横向(云内漫游？)

接下来自然是横向移动了，由于这是台存储数据的服务器(内网地址10.26.179.186)，猜测这应该是个数据库段，要是把内网整个拿下，那分数不得蹭蹭往上涨，在进行了常规的端口扫描之后（扫描中提示可能有防火墙），发现确实存在好几台内网机器，且基本都开放的80,443端口，一两台还开放了21,22端口。咦？不对呀，内网横向常见的135,139,445端口没了？那只能通过内网的web渗透来拿权限了？于是搭建了个代理，在本机上挂上代理通过浏览器去逐个访问网站，不对呀，与HW完全不搭边呐，都是别的地方的东西，还有个个人博客，通过admin/123456进入了后台。我看刑，有判头。

至此，裁判评分：

打得这么辛苦，就1000分？

6.咋就打进了IOT？

大佬B再次对拿下的云服务器进行信息收集，远程登录Administrator账户，通过谷歌浏览器收集到了访问某个站点的账号密码，是个单点登录，登录进去看到了这样的字眼：登录成功，您已成功登录中央认证系统。又通过服务器上的向日葵远控到另一台主机，上面还显示着某些运行情况。
裁判评分：

看到这个IOT整个团队一开始都有点懵的，后面想明白了，这个数据库服务器是很多个系统的数据存放地，可以说是个集群数据库了，有20多个G，而向日葵又远程着另一台服务器，上面监控着运行情况。

7.疑似境外攻击？

当我在复盘此次HW攻击过程时，在与大佬B交流过程中，他说他当时通过netstat发现了一个与美国的连接，还将连接情况本地保存了一下，我瞬间感觉有点不太妙，查了下这个ip:

通过威胁情报中心查询到的结果：

立即将情况上报给警官
维护国家网络安全，人人有责！

介绍一下内部圈子，干货满满！！！

不定期直播分享，都是分享的攻防场景的东西，复盘之前的攻防比赛，分享思路、工具、技巧等（以个人的实战经验做分享，都是分享的实用干货，录播都是EV加密，一机一码，不存在外泄）

直播反馈

以下是圈子分享的部分资源展示

现在499入圈真的超值，后续随着分享东西增多，价格只涨不跌，越早加入，越早学习！！！

原文始发于微信公众号（无影安全实验室）：转载|记首次HW|某地级市攻防演练红队渗透总结