记一次平平无奇的渗透过程

记一次平平无奇的渗透过程
2022-11-15 08:32:31 Author: 潇湘信安(查看原文) 阅读量:34 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这篇文章由"潇湘信安技术交流群"@0x536d72师傅投稿，@3h整理发布，感谢分享！

本文内容均为虚构，如有雷同纯属巧合。祝大家工作顺利，事事如意，心情愉快，万事大吉，升官发大财！

0x01 信息搜集

渗透都是从信息收集开始这个无疑，推荐几个收集的平台。

https://search.censys.io      //端口收集扫描比较全https://hunter.qianxin.com    //可视化图形资产，可与fofa结合使用https://duckduckgo.com        //找后台比较无助的时候可以尝试site:xxx.com loginhttps://fofa.info             //资产测绘https://ww.shodan.io          //shodan

梳理目标隶属IP、子域、子公司、分支结构、旁站域名，从www.xx.xx主站下手通常都是比较困难的，我们可以从子域、子公司或旁站入手。

利用duck浏览器搜索到目标的一个奇葩路径后台

平平无奇，验证码也没有

添加单引号报错，果断选择扔进sqlmap

之后跑出密码，登进去后台里面却发现并没有什么功能点，只是一些文章内容。

php系统嘛，那就翻文章看参数测注入咯。

小飞棍来咯，报错了继续扔sqlmap

这里说一下，后台登陆的地方注入和登陆进来后的注入，俩个地方使用的库是不一样的，所以出来的表内容也是不一样，但可惜都不是DBA没法直接shell。

这里设第一次跑的库为A，第二次为B

利用B数据库出的密码表成功登陆上了该目标的“几个”后台地址（manage、control），但可惜目标后台所使用的是ckfinder编辑器，并且修复了漏洞，都是白名单上传，一瞬间又丢了思路。

0x02 GETSHELL

梳理现有的密码表及资产，通过shodan插件发现此IP下还有其他的域名资产。

访问资产，在这锁定了EIP.XXX.com，使用现有A数据库的密码表成功登陆该平台，且锁定了上传功能点，任意文件上传直接拿shell。

传shell之前在这有个小插曲，就是我担心发布公告动静会太大，一直没敢发包去传，导致在拿shell的时候卡了很久，其他系统后台的地方上传点都是白名单。

运气比较好，是域内用户，接下来就是抓hash、浏览器密码、导RDP链接记录，收集该目标机器上一切有关的信息数据，以上工具GitHub都有，就不放下载链接了。

0x03 内网渗透

当前权限比较低，利用哥斯拉自带的烂土豆插件提权，抓hash。

有时候运气好的时候谁也挡不住，一手hash”游戏结束”，抓到了域管的账密。

但突然反应过来我们要的靶标并没有在这个段中看见，只好埋头开找，好在老天不负有心人，还是被我在他们内网主页的界面中找到了靶标系统。

但这个资产并不是域内的机器，而是另一个段的工作组环境。自然用域管的账密IPC不过去，但还是抱着侥幸的心里试了一下，万一账密一样呢？果然不出我所料密码错误咯。

既然是新的250段，那就上fscan轻扫一下咯（想着这个段里面能有其他资产可以打进去，然后抓hash再横向250.11，可惜这个段里面多数为打印机、门禁设备），这里建议在内网使用fscan的时候设置一下线程大小，默认线程是600，根据实际情况来降低线程并加上“-np -nobr -nopoc”参数（参考GitHub说明手册），仅探测banner信息即可。

探出该机器存在17010漏洞，不过我“怂”这个毛病还是犯了，担心打蓝屏的问题迟迟没敢出手，又导致了在这个环节卡了很久横不过去。实在没办法就去请教了张三师傅看看还有什么办法，他说: 怂个鸟？有漏洞打就完事了，里面有杀软的话（麦咖啡）就RDP过去给他停用，然后在他本地直接正向去打MS17010就行了。

这里由于目标机器不出网，采用了HTTP隧道，https://github.com/L-codes/Neo-reGeorg，RDP过来第一件事先停用杀软，接着就是扔exp用本地直接打，ms17010过程不在放图（添加用户+RDP连192.168.250.11）。

开启3389命令：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

放行3389防火墙：

netsh advfirewall firewall add rule name="Remote Desktop Protocols" dir=in protocol=tcp localport=3389 action=allow

在连RDP的过程中遇到一个小坑，解决方案参考以下链接。

https://blog.csdn.net/weixin_43693967/article/details/124623198

停用后，打payload，然后连192.168.250.11。

过去250.11以后抓一手hash，并没有抓到administrator的hash，那就导注册表咯。

reg save HKLM\SYSTEM system.hiv                         reg save HKLM\SAM sam.hivMimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

mimikatz解密出来administrator的NTML，然后去cmd5解密，运气好解出来了，是个弱口令，切换到admin用户，并删除之前新增的用户，接下来就是翻东西了。

全程结束

文笔较差！轻点喷。第一次写文章很紧张，本次只记录有效操作过程，内网中有很多段，但对我来说没有什么用，就没有去做。而且在打点的时候也兜兜转转绕了很多的弯路，“怂”这个毛病我得改改了，哈哈哈。

本次全程手撸无上线，内网横向其他机器翻文件的时候使用的是IPC、隧道RDP。

最后附上大哥的话：

打内网之前要弄清楚你要的东西是什么，当前位置在哪，要去哪里，管理员从哪里来，把内网中所有的信息全部收集干净，思路锊清之后再去操作。

没有授权不要渗透！！！

关注有礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，“2191”潇湘信安文章打包，“1212”杀软对比源码+数据源，“0421”Windows提权工具包。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247499503&idx=1&sn=523048c7061c97e2453dd4978bf84469&chksm=cfa55afcf8d2d3ea1d19cdab15d38cb251b3f8f6490c8fcff80e56eb7eac4a504b40b97abac0#rd
如有侵权请联系:admin#unsafe.sh