记一次攻防演练突破

序言

  近期一次攻防演练

外网打点

   在给定的靶标进行外网信息收集，有一处老旧站点，网站架构为iis+asp.net+mssql，搜索框处存在sql注入漏洞，尝试sqlmap检出3类注入，其中时间类型注入存在性是比较在意的因为牵扯到后续的xp_cmdshell调用，这里运气很好

列出当前主机存在的所有盘符然后全盘检索web文件准备写shell

Tasklist /SVC 查看了防护情况存在火绒杀软

web目录中文路径，在写shell的时候要优先考虑到编码问题，火绒会对一句话内容查杀，普通的一句话落地秒，所以需要使用畸形一句话

示例：echo ^webshell^> > e:中文路径1.aspx，这里的细节是0x表示hex编码的起始，sqlmap的结束有个;号编码后是%3B，0x和%3B内的hex编码就是命令内容，将命令gb2312编码后替换

sqlmap开启http代理到burp截断替换数据发包即可getshell

内网渗透

  上传火绒免杀马，使用xp_cmdshell执行上线cs，查看本机信息权限有点低，后续考虑提权

流量代理方面依赖两种模式，免杀的shellcode上线后直接开socks5代理，因为是iis+asp.net套件可以直接使用suo5，考虑到有AV的查杀，这里对原版的suo5做了二开处理

webserver主机后渗透方面，server 2012尝试bypass火绒加载土豆家族获取system权限，可以将土豆exp转为bin文件加载shellcode，规避火绒查杀

主机信息收集尝试，bypass火绒dumphash，为后续的内网横向做准备，这里不存在域环境且发现明文弱口令Admin@123

查看rdp服务端口默认未修改，挂上代理rdp规则走socks5隧道直接连上桌面

读取rdp缓存，回收站，xlstxt密码本信息，本地代理进行内网rdp横向

权限维持方面挂了Vshell自启服务，web入口掉了也能进内网，DMZ区内找了多台出网的Server主机上线Vshell规避应急

获取到的rdp挨个登陆后发现靶标，资产管理系统

使用获取到的密码口令直接登陆后台

rdp密码复用进入远程桌面

内网多台Server服务器权限证明

由于机器太多就不一个个截图展示了

win10提权

  内网发现一台mssql弱口令，尝试命令执行有回显，ping外网能通，存在火绒杀软考虑bypass

正常直接调cmd，powshell肯定会被拦截，尝试混淆cs的shellcode上传目标主机使用mssql进行shellcode加载上线

防止xp_cmdshell拦截所以自定义了clr函数来用于命令执行，这里把处理好的bin文件上传到目标主机上，使用clr_scloader命令加载shellcode上线cs

低权限考虑绕过火绒提权，常规土豆家族在火绒杀软监测下的Rpc管道创建失败，使用Dompotato提权走DCOM接口即可成功提权

上传免杀马，直接执行exe以system权限上线cs

bypass火绒dump主机hash也行，添加用户管理员也行看个人喜好，这里选用adduser添加管理员开启rdp服务启动远程桌面连接

获取大量数据

内网Vcenter文件上传

getshell之后获取db文件获取cookie本地替换进后台

剩下的ssh，mysql，redis打包直接交了

总结

   WinServer*12，linux*11，数据库综合*9，应用权限*4，vcenter*1