安服仔某渗透项目实战

文章首发于：

火线Zone社区（https://zone.huoxian.cn/）

前言：

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

由于是做项目客户大大会直接将测试系统甩过来,所以这里就不过多介绍信息收集了,直接开始。

我的方法的话通过AWVS+人工渗透来进行测试。

通过1-2小时的扫描发现Sql注入漏洞，此时我们来进行人工复现，首先呢先访问漏洞url，然后通过bp抓包，抓包如下：

可以得知这个数据包呢是一处登录口的数据包但是访问的话不能正常访问，但是AWVS爆漏洞我们还是老老实实将数据包保存跑一下Sqlmap,Sqlmap测试结果如下：

图 1-1 Sql注入DBA

测试结果对方未mssql数据库+Windows操作系统+asp.net站点，且为DBA权限,主要为DBA权限的话我们的操作空间就会很大了，接下来讲解内网渗透。

通过图 1-1得知对方未DBA权限这里直接获取对方的os-shell以此来执行powershell命令以此上线cs。

图 2-1 Sql注入命令执行

执行之后成果上线，由于通过信息收集发现对方只打了5个补丁，且杀毒检测也是关闭的，这里的话我就直接进行了提权。

图 2-2 上线CS

提权完之后我们在进行信息收集以及密码抓取，由于探测对方为win2016 系统因此抓不到明文密码因此我这里添加影子用户admin$/admin@123../，做内网socks代理进行远程连接，这里做端口转发的话容易被发现所以我是直接通过对方的网络进行连接，也有一定的隐蔽性。

图 2-3 172.16.0.188服务器

接着利用此用户做了简简单单权限维持后，将内网神器fscan上传至服务器隐藏文件夹进行扫描，成功通过弱口令拿下大量机器，由于机器太多我这里就直接贴cs上线的截图以及部分机器截图了。

通过内网扫描工具爆破rdp获取的机器如下：

弱口令都为：administrator/123456

图 2-4 172.16.0.175服务器

图 2-5 172.16.4.19个人PC

图 2-6 172.16.7.39个人PC

这里由于机器过多所以这里就只贴三张图了，rdp弱口令拿下将近12台主机

接下来就是通过内网的ipc共享加wmi以及加壳免杀上线CS，如下：

这里不直接用ipc横向的原因就是在创计划任务时提示拒绝访问，自我猜测被360天擎拦截，然后将ipc和wmi组合用的原因呢就是wmi需要将后门上传web服务器，但是这样很容易被发现，ipc传马的话只需建立连接直接传马加上wmi直接进行执行在connect连接即可。

这里利用的前提条件的话需要指导对方的一个账号密码且对方要开启共享以及135端口,这里通过爆破的话也是获取到了大量机器的账号密码都为：administrator/123456

接着将其上线如下：

图 2-7-8 主机上线图

图 2-9 横向移动

ipc:

net use ipipc$ 密码 /user:用户名 进行ipc连接

copy 某盘符木马 ipc$ 将拿到的服务器的木马传至对方的c盘

wmi：wmiexec ./administrator:admin!@#45@ip "cmd.exe /c c:/beacon.exe" 执行传在c盘木马

机器权限拿的差不多了在贴一张FTP吧

FTP：弱口令：admin/admin

文件预估有一万以上，预计是FTP服务器来的存储了大量文件。

图 2-10 FTP

至此渗透结束、总结拿到的机器权限40多台、FTP权限上百个。由于授权测试时间只给了两天,不然足够有时间拿到域控以及进入工控网等。

其实每次渗透测试实战时每个环境都不一样,这里给各位师傅一句建议就是每次做渗透时要么写一份语雀要么将报告保存好,这样有助于增长我们的实战经验忘了也可以返回去看自己的骚姿势。

在此感谢各位师傅观看!Thank you!

【火线Zone云安全社区群】

进群可以与技术大佬互相交流

进群有机会免费领取节假日礼品

进群可以免费观看技术分享直播

识别二维码回复【社区群】进群

【火线zone社区周激励】

2022.2.14 ～ 2022.2.20公告

【相关精选文章】

火线Zone是[火线安全平台]运营的云安全社区，内容涵盖云计算、云安全、漏洞分析、攻防等热门主题，研究讨论云安全相关技术，助力所有云上用户实现全面的安全防护。欢迎具备分享和探索精神的云上用户加入火线Zone社区，共建一个云安全优质社区！

如需转载火线Zone公众号内的文章请联系火线小助手：hxanquan（微信）