本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
前言
=====
新年第一天上班,接到一个客户授权的渗透测试项目,新年新气象,上来就有了一个好的开端,因为拿下了目标哈哈,特此记录 2021 年第一个项目吧。
一开始给了一个权限很低的测试账户,只能浏览不能更改任何东西,但是偶然发现内容管理里面网站 LOGO 选择图片上传的时候,提交就算没权限更改也可以上传成功返回路径。然后就有了下面的一系列操作。
其实绕过并没有什么难度,网站使用 PHP 开发,直接冰蝎马修改后缀为. jpg 绕过前端认证,然后抓包修改为. php 即可上传成功,而且返回了绝对路径。
冰蝎连接也成功了,按照常规渗透测试项目来说,到这里就可以了,但是因为自己平时内网渗透做的不太多,HW 的时候也主要是拿 shell 为主,内网一般交给诺言大佬做。但是 HW 的时候大部分的拿分项其实都在内网,时间紧任务重,所以自己也在学着拿到 webshell 后再把内网做一遍。既然这次做项目遇到,就接着往下做吧,因为之前无锋大佬说过要把每次项目当作真实的 HW 去做,才能提高自己,所以说这次也算是一次内网实战吧哈哈。
查看权限为 IIS 权限,所以说下一步我们要提权为 system 权限。
ping 了下百度是通外网的。
直接 cs 配置监听,生成 powershell 上线马运行。
CS 成功上线,接下来我们就开始提权吧。
查看了下系统信息,看系统打了哪些补丁,待会儿我们提权使用。
在提权辅助网站上找了找然后...... 直接烂土豆提权吧。
使用 CS 自带的烂土豆提权,提权成功,出现 system 权限的会话。
使用 mimikatz 抓取密码,因为是 2012 R2 系统所以没有抓到明文密码,然后我们拿着抓到的 NTLM 的 HASH 值去解密管理员密码。
查看了一下系统是开着 3389 的,我们准备抓取了密码后进行远程桌面连接。
在 chamd5 上搜到了,但是需要付费,放弃。
在另一个解密网站上虽然免费,但是解密太慢,而且得排队,。。。。。等了一会儿,放弃。
然后直接把 Hash 发给了工具人(p 师傅),直接秒出结果,不得不说 p 师傅属实奥里给。
然后拿着解开的密码去登录,结果登录不上,猜测可能是因为安全策略设置的原因,再说也不敢私自去开客户的 3389,所以没办法只能代理进内网连接了。
配置 sock4 代理,代入内网。
查看目标机器内网 IP 地址,在内网中连接目标的远程桌面。
成功登录目标系统。
没有使用工具啥的扫描目标内网,使用 arp -a 简单查看其他机器,使用相同密码拿下 231 机器,其余没再做尝试。
查看数据库,找到对应 user 表查看用户名,为客户提供的用户名,后破解密码又成功登录了管理员权限的账户,因为目标在阿里云,没有域,也就不能实践域渗透的相关操作,所以目标内网渗透到此为止。
虽然说这次内网渗透并没有遇到什么坎坷,没什么难点,但好歹也算自己新年的第一个实战哈哈,特此记录吧,师傅们轻喷。祝大家在新的一年里 coder 们 0errors,0 warnings。hacker 们都能够拿下目标,牛年牛 p。
E
N
D
关
于
我
们
Tide 安全团队正式成立于 2019 年 1 月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web 安全、移动终端、安全开发、物联网 / 工控安全 / AI 安全等多个领域。
团队作为 “省级等保关键技术实验室” 先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目 60 余项,获得各类自主知识产权 30 余项,省市级科技项目立项 20 余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
我知道你在看哟