通过目标某医院资产发现一个协同办公系统,这样登录界面(厚码保命)
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
登录没有验证码,admin变种字典爆破启动,经过很快获得正确密码adminxxx
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
随便找一个上传点,传上去后访问失败,然后换免杀马,直接报500,随后想到ASP站点,最近获取到webshell上线CS,随后修改shell.aspx中的payload.cs代码,上传后访问木马,没有报错,并成功上线CS。
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
低权限用户,不要紧直接上提权插件成功获取system权限。
查看本机的网络信息、是否出网(已经确定可以出网)、读取远程登录账户密码、上传frp搭建反代、上传远控关闭杀软
是否开启了远程桌面服务,使用以下命令查看。REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections
上传gotohttp进行远程连接桌面,上传没有问题,但是远程连接后是黑屏,当时没有解决,也没有在意,后来在群里一个人也遇到这个情况,有个佬给出了解决方法,需要降权,不能用system权限进行启动,连接。
获取到内网地址信息,但是密码抓去不到,随后用命令开启Guest用户并加入管理员组。
反向代理把流量代理出来,登录Guest用户成功登录服务器
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
用Windows取证工具znrobber.exe扫描本机信息,获取账号密码组成字典以便后续进行密码喷撒
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
用netspy探测可到达网段(获取192.168网段)
fscan发现大量数据库和服务器弱口令,weblogic-RCE
然后根据扫描的系统进行挨个访问,获取部分系统管理员权限。
后来再慢慢翻网站上传的文件信息,获取到了100.100.x.x地址和大量病例信息,用登录后的服务器成功访问100.100.x.x段
通过收集到的密码和弱口令进行爆破,获取到很多web系统权限
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
mssql弱口令通过工具执行命令上线CS,也算个刷分技巧吧。
最后在100段发现了心心念念的VMware-VirtualCenter
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
有一整个C段都是VMware-VirtualCenter页面,通过历史漏洞最终只获取了2个webshell
![实战 | 攻防演练某x医院内网拿下集权]( "实战 | 攻防演练某x医院内网拿下集权")
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3615012.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论