你们红队不就是nday进去fscan吗?》-两次打点小记

admin 2024年10月6日23:39:49评论9 views字数 1425阅读4分45秒阅读模式

最近和师傅们群聊吹水的时候得到了如下结论

你们红队不就是nday进去fscan吗?》-两次打点小记

两次实战记录看看是果真如此吗

1.某次众测(且已经有了0day储备)

某某src上了众测,信息收集找到某系统是有0day储备的,准备梭哈开开心心打内网

你们红队不就是nday进去fscan吗?》-两次打点小记

我测 居然有d盾,在这个云waf的时代好久没看到了

你们红队不就是nday进去fscan吗?》-两次打点小记

使用高并发➕脏数据就可以绕过 (通过消耗服务器资源钻空子)

你们红队不就是nday进去fscan吗?》-两次打点小记

打开这个200的页面我以为是上传成功了,结果是安全狗的防护页面 !!!

你们红队不就是nday进去fscan吗?》-两次打点小记

继续进行绕过,试了很多方法各种组合技 最后fuzz了一种可以 文件名为Content-Disposition+脏数据混淆安全狗解析

你们红队不就是nday进去fscan吗?》-两次打点小记

看到这个绿色的路径以为稳了,结果是说访问被拒绝

你们红队不就是nday进去fscan吗?》-两次打点小记

不能落地aspx,asmx,ashx等常规后缀的文件应该有有edr或者杀软的规则,通过fuzz可落地soap,cshtml soap上传后 d盾拦截不解析

你们红队不就是nday进去fscan吗?》-两次打点小记

干货来了

cshtml文件为net的视图文件,而在net某些版本默认访问是不解析的,当前环境就是这样访问404

但是熟悉net mvc代码审计的师傅应该知道可以用mvc特性去解析视图文件

通过替换当前web的视图文件

你们红队不就是nday进去fscan吗?》-两次打点小记

再利用mvc路由实现解析(有一定的破坏性)成功执行代码得到当前用户

你们红队不就是nday进去fscan吗?》-两次打点小记

当我开开心心的准备调用cmd执行命令的时候发现Permission Denied !

应该还是上面的杀软或者edr不让调用cmd.exe,使用Assembly.Load加载也是不行 

可恶啊!到这里已经耗费了几个小时的时间了,难道就要这样放弃了。 

你们红队不就是nday进去fscan吗?》-两次打点小记

灵光一现,这个net系统一般都是mssql,是否可以用代码调用数据库执行xpcmdshell提权执行命令呢,将web.config文件复制到网站根目录

你们红队不就是nday进去fscan吗?》-两次打点小记

访问,得到数据库账号密码

你们红队不就是nday进去fscan吗?》-两次打点小记

通过cshtml连接数据库执行sql语句(由于有waf将sql语句base64 然后在解码)

你们红队不就是nday进去fscan吗?》-两次打点小记

开启xpcmdshell成功rce!!!

你们红队不就是nday进去fscan吗?》-两次打点小记

由于是众测,这次没有任何防守人员,也没有看到流量去应急,绕到现在拿rce用了一下午时间,在护网中遇到防守厉害的目标可能早早就关站了。。

2.某次市级护网打点

通过信息收集钓鱼获取webvpn凭证

你们红队不就是nday进去fscan吗?》-两次打点小记

登录发现可以直接通10段,但是做了网络隔离,只能访问到部分web资产端口

你们红队不就是nday进去fscan吗?》-两次打点小记

一个个看了看发现能访问的资产很有限,而且都是比较新的系统,nday也没得 功能质检员发现了一处弱口令 4/123456

你们红队不就是nday进去fscan吗?》-两次打点小记

权限不高,找到了几处sql注入但是是ora还有waf,拿shell概率不大 

转战供应链攻击拿源码 在互联网测找其他通用系统,没waf的,通过sql注入拿到后台管理员权限,然后后台文件上传getshell

你们红队不就是nday进去fscan吗?》-两次打点小记

得到源码,进行代码审计 文件上传无过滤

你们红队不就是nday进去fscan吗?》-两次打点小记

成功rce内网站点(内网还有强waf就离谱,asmx+编码绕过)

你们红队不就是nday进去fscan吗?》-两次打点小记

提权到管理员

你们红队不就是nday进去fscan吗?》-两次打点小记

准备上线vshell 上去1s就断(应该是edr的原因)过了两分钟站点关了 10分钟vpn禁用(这速度我测)15分钟马被扔沙箱。

你们红队不就是nday进去fscan吗?》-两次打点小记这应急速度。。

你们红队不就是nday进去fscan吗?》-两次打点小记

这次应该先用webshell去慢慢摸拿内网一台机器做维权的,但是由于是webvpn进入内网的shell很卡,就直接想着上线速度快一点,还是大意了。。

你们红队不就是nday进去fscan吗?》-两次打点小记

由于shell工具是用的还是自己强改过流量的哥斯拉,所以连接数据库统计数据都没啥问题,但是上线vshell的瞬间被edr捕捉了,然后蓝队应急,所以除了webshell工具还得自己写远控或者二改远控,但是cs常规流量二改其实作用不大,内存特征太明显了,单兵作战的话还得是学开发给自己赋能。

原文始发于微信公众号(艾克sec):你们红队不就是nday进去fscan吗?》-两次打点小记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月6日23:39:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   你们红队不就是nday进去fscan吗?》-两次打点小记https://cn-sec.com/archives/3222399.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息