攻防第一天，内网又穿了？

序言

  记一次三天1.3w分拿下靶标过程复盘总结

突破

  通过互联网公开的web服务，针对子域名信息收集到目标单位的教务管理系统，它是由南京某某公司开发提供服务的

通过目录遍历拿到源码开始代码审计，老思路还是先看文件上传，代码审计文件上传部分一处uploadFile()方法

这里api页面是未授权访问的可以直接通过该页面的方法上传文件：.aspx?action=uploadFile，fileName参数是直接通过httpPostedFile.FileName获取过来的，没有经过任何check构造文件上传数据包，直接上传webshell即可

通过 base.Server.MapPath定义的常量获取到上传文件路径：/UpLoadFile/YHB/文件名，拼接一下放到浏览器访问一下，文件肯定是落地了，至于为什么是403等会再绕

文件上传第二处，文件管理代码没有被封装在bin文件里，单独写了一个.cs文件对应的逻辑，应该是后续功能新加的，这里有个uploadQTFile()方法，uploadFile.FileName也没有对文件后缀名进行检查直接落地

这里做了cookie验证，必须要教师身份及以上才可以，但是又存在另一个漏洞，逻辑问题导致越权导致可以直接获取教师，管理员token信息，随便登陆一个账号

前端校验的一些静态文件不用管，文件名正常的png绕过前端js验证发包处修改成aspx即可

代码执行绕过，这里的403是asp.net上传目录禁止动态脚本解析，不允许上传上来的文件进行任何操作，没办法了吗？

上传.soap木马创建危险函数注册Web services获取命名空间，绕过aspx不能解析的限制

传上去了访问一下没问题以后使用哥斯拉连接soap webshell即可

内网

  命令执行查看当前主机权限，iis服务权限后续考虑提权

Tasklist /SVC查看进程列表，丢进在线进程识别网站上查看存在火绒杀软

制作cs免杀马上传目标机器上，命令执行上线，查看用户特权信息

systeminfo查询主机版本，补丁信息，server2016后续尝试bypass火绒创建pipe管道提权

使用哥斯拉PetitPotam模块进行权限提升操作，还可以使用土豆家族或者其他最新刚出的exp，主要是版本能覆盖到server2016的

有了system权限之后的可操作空间就很大了，query user查询在运行的用户，发现administrator管理员在远程这台主机

果断从system权限降administrator权限远程vpc查看管理员的桌面活动

vpc远程桌面当时忘了截图补一张

从lsass内存里抓取管理员密码

md5解密hash，或者直接hash传递都可以

内网smb主机网络可达探测

上线vshell搭建流量代理并注册自启服务，计划任务

超级弱口令检查工具发现很多台主机，包括不限于当前c段

靶标权限获取：通过双网卡主机突破逻辑网段隔离，某管理员wps云文档登陆缓存，信息收集到堡垒机账号密码登陆进去发现很多台服务器，其中包含了靶标服务器

其中包含目标Ad服务器的主，备机器，门户，核心数据服务器

最后

  公众号好久没发文章了，一方面现在的大部分时间放在工作上，工作性质相对保密内容无法对外公开，由于全职工作没法线下参加攻防演练，文章输出相对较少。另一方面由于单个漏洞的挖掘对于学习是碎片化的，全量数据下学习会更快，数据可参考公众号文章《一次性看个够，证书站锦集》，这篇文章得到了粉丝的一致好评，还可以参考src平台的漏洞分布

  往往零碎的报告，思路整理起来比较麻烦，时不应景，拿到的时候不想写，想写的时候缺少了漏洞环境，就比如某某天我们发现了某个小程序的fastjson漏洞，能dnslog解析域名，但当我们再想回去写一篇复现文章的时候，该小程序版本进行了大更新

  公众号后台一直收到各种催更私信，在这里统一回复一下：为了提高阅读体验，公众号内关闭了流量插入，谢绝广告推销，仅保留技术文章，你会发现你不主动私信，你可能都找不到我的微信。一直有点完美主义，对文章质量要求很高，创作打磨润色都需要很长时间。当然还有就是比较懒，攻防系列会一直更新下去，会很慢，但不会断更。