从文件上传到域控

admin
admin
admin
138775
文章
114
评论
2022年4月20日08:57:09评论39 views字数 847阅读2分49秒阅读模式

信息收集(柳暗花明)

收集到的信息都是有价值的,无非是要确认 What->Why->How ,找到通往罗马的那条路,实现外围打点、边界突破的目的。
在一次攻防实战中,正面、子域刚不过;确认了几个IP是有效资产后,识别到的端口应用又啃不动,陷入僵局;重整旗鼓,去看看开放的其他端口是干嘛地。确认开了8101、8102端口,访问8101端口直接来个白板:
从文件上传到域控
没事多问为什么,存在就有意义;继续尝试,扫它一波,回显了几个目录:
从文件上传到域控
这就是收获,继续走着,就看信息能收集到什么程度;又发现了一个路径:
从文件上传到域控
拼接目录,继续;有东西了:
从文件上传到域控
端详这个文件,发现有多个接口:
从文件上传到域控
尝试访问个接口,有个注册功能:
从文件上传到域控
先不急测试,查看“注册条款及隐私协议”,发现是目标的一个APP:
从文件上传到域控
为方便测试,直接互联网下载这个APP安卓最新版本进行测试。
直接尝试文件上传,最后改了Content-Type参数,直接成功上传返回路径:
从文件上传到域控
shell连接成功:
从文件上传到域控
权限不高,Godzilla尝试进行提权,成功(运气上来了):
从文件上传到域控
看看进程,有数字杀软
从文件上传到域控
执行命令远程下载免杀马,成了:
从文件上传到域控
执行,也成了:
从文件上传到域控
上线,还成了:
从文件上传到域控
至此,外围打下个点。

定位域控(收米跑路)

天下武功,唯快不破,路数之一就是干完就跑路。
下一步目的很明确:拿域控、跑路、交报告。
对服务器本地环境进行信息收集:
1、不在域
2、操作一番,读出个明文登录凭证:
从文件上传到域控
3、网络层发现2个IP段,直接用收集到的凭证进行RDP爆破(采集到的密码后四位是年份,怀疑其它密码会有此规律,改了几个年份构造密码字典);先不管内网有没有防护,线程调高,争取尽早跑完。
真跑出了几台,密码后面是**2017(别怪我内网地址也打码):
从文件上传到域控
直接远程登录,是在域机器:
从文件上传到域控
定位到域控:
从文件上传到域控
直接尝试获取凭证,有收获:
从文件上传到域控
成功登录域控:
从文件上传到域控
是个域管:
从文件上传到域控

作者:2200,文章来源于先知社区。

从文件上传到域控


• 往期精选

从文件上传到域控
从文件上传到域控

windows提权总结

一次SSH爆破攻击haiduc工具的应急响应

记一次艰难的SQL注入(过安全狗)

记一次溯源

从文件上传到域控

下方点击关注发现更多精彩!

原文始发于微信公众号(银河护卫队super):从文件上传到域控

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日08:57:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从文件上传到域控https://cn-sec.com/archives/927132.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息