中国网络渗透测试联盟

标题: 渗透测试百货中国内网纪实 [打印本页]

作者: admin 时间: 2018-10-20 20:16
标题: 渗透测试百货中国内网纪实

/ A4 p" }8 h# p( n* D
. v0 t" ~, `+ [( J* `

- t F: v3 e1 t9 h4 f& Z 1、网站弱口令getwebshell
. g1 j0 _9 o3 c: c 经过一番手工猜解找到网站后台，习惯性的用admin admin竟然进去了，浏览一番发现可以配置上传文件类型于是配置上传类型如图：
! M; t% {! o0 d7 M( r: F9 T
4 [! T' n8 v# b
/ g( {- L+ z2 r' A
2 M9 N8 C, Y% c7 m/ x" M
3 |, Q! b0 j. F$ A然后去找地方上传，上传的时候发现虽然配置了asp、aspx但是仍然上不上去，还曾经一度用后台的sql命令用db权限备份一个webshell，但是由于权限设置问题导致拿webshell失败，抽了一支烟，沉思了半会，决定在增加个上传类型cer，看看果然可以成功上传，如图：
: P3 j L& ]# k( u; y
" \7 y0 H2 o: r! z5 U V7 e8 e
& o6 ~% D6 Q. L. ?
. k+ o/ l9 ?3 O% o 2、各种方式尝试反弹3389
8 @( A/ O4 q! I7 R1 B# f拿菜刀连接执行ipconfig /all,发现是内网，如图：
1 ^3 g8 b) w; I! F+ F# ?1 {" L
+ ?. H \+ c- C: e. |
' x8 j) k( w) I1 D: `服务器开了3389，下面我们想办法反弹出3389，笔者测试用lcx,tunna，reDuh，均以失败告终，貌似像开了TCP/IP筛选限制3389登陆，好吧我们想办法关闭掉这个，方法有两种一种是用mt.exe执行，笔者这里用修改注册表的方式修改，方法如下：
% O' j" ]: Q$ l: I- f, f4 `9 y
j" Q* }* X3 k1 j( w# L/ R6 D TCP/IP筛选在注册表里有三处，分别是：
& d* ^ y: X4 o( ]/ U HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
5 Q7 }* z a8 [ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
% ^$ v4 \9 }$ c2 v9 a, yHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 ?1 s1 e- H0 [6 P5 y7 A `$ y
5 Z. f$ ] {/ [- w6 k/ J9 C, f 导出到自己所指定的目录进行修改：
- v+ B; i' ^5 n1 D2 ~- ~ regedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
( i- N% d) R5 I6 E% V5 O" z. F regedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- D4 I) Q. d& Hregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; i# a+ w; \! x/ t( q
R; K: r: |0 } 然后再把三个文件里中的：
6 d. ~6 Q+ c' r) d. x “EnableSecurityFilters"=dword:00000001”改为：“EnableSecurityFilters"=dword:00000000”
4 k T/ c0 b% ] f1 W# F7 F 再将以上三个文件分别导入注册表：
" ^4 j5 N. R, @ regedit -s D:\网站目录\1.reg
/ X+ R8 e2 T2 {. T: M- B" Z: f! Kregedit -s D:\网站目录\2.reg
/ i8 g& E9 ]1 c' w, I- A' F regedit -s D:\ 网站目录\3.reg
3 p% |+ Q/ F0 J [2 p重启服务器即可！
7 V5 s. p( G" S D 但是导出注册表打开看貌似不是TCP/IP筛选限制，因为找不到EnableSecurityFilters，好吧看来不是筛选限制，那怎么办，据说国外有很好的工具可以正则代理，我分析很有可能是做了安全策略导致的，因为我把防火墙相关的服务都关掉也不行，操家伙，工具名称叫：reGeorg-master，下面看我操作，先把这个代理脚本tunnel.aspx上传然后执行
0 F \# }2 c( x9 D7 W2 C
1 r3 U9 D; z' d& C
& T* W. D4 i, `% s
' J$ W9 O/ z' j9 r# U8 V0 z然后还需要安装个程序SocksCap，然后加载如图：
7 S: s' K, Y' [ n: c
! V, l0 r; K' ^* G0 f7 N8 f/ e+ i
3 i1 {' M, w: ^) D& d' k; |下面我们开始用mstsc连接内网ip,首先连接10.177.2.14，结果连接不出来，连接另一个内网Ip 10.177.250.1也失败，后来干脆netstat –an一下发现目标机连接到10.177.2.11，端口是1433，如图：
9 Q7 C- E% ]- d& u# C0 u
5 ^: [% T' }- L8 F5 U9 j6 J% x
- l- V: T( q, b3 \% x" l
) F) r1 k l2 h0 p
- |9 @- s' j# Y- l. g( s2 E' J4 h既然使用s5正向代理，那可以试着连接一下这台数据库服务器3389看看，连了一下果然是可以连通如图：
6 @* f+ S: J4 E1 A( T0 Z J
1 x6 \2 {/ c9 ~, {/ e' N
. |3 O7 I0 w, O: ^& _" M
{/ G* S3 Q- [2 X* K. B
: n8 y# @- W: }5 D; Z V( ]3 N 2、数据库提权与ms15-051提权双进内网服务器
5 v$ ^ j; s- o U* ? OK，现在的思路是翻网站数据库配置文件，找找sa密码然后先给10.177.2.11提权，然后再在11里面连接目标3389，没翻到sa密码此处略去300字，不过翻到一个账号是sa权限，连接数据库执行命令如图：
. _& ^0 b# J; p! R1 w
8 C/ O) D. ]7 u% ^
& n, {. l @ m; @+ d* S) y2 z# s
! c( W; `) W$ |, C3 U8 E4 R; R 添加账号密码的过程就不写了，肯定是可以进10.177.2.11了，下面我们还的给目标机添加账号密码，经提前测试，发现存在ms15-051漏洞，直接上exp执行命令如图：
: @* p1 ^1 I/ o$ J- D
7 V; ~ g9 q0 N' A
$ w7 |3 R( T: Q6 i( ^& h
1 M! o/ G- U# [: Y1 D. I 同样添加账号密码，终于进了目标站的远程桌面如图：
! G$ H, J3 _- ^$ _% H
/ P( [- C% p' \4 A1 j. f$ e$ n 总结：至此这个网站的漏洞算是测试完了，测试中途有些卡顿，主要技术问题是反弹3389，测试各种反弹工具都失败，后来经验证不是做了TCP/IP筛选，我用远控也无法上线，貌点像通不了外网的样子，但疑惑的是为什么数据库服务器的3389却可以代理出来，同样在数据库服务器中远控也无法上线，如果有遇到过这样的朋友，请回贴不吝赐教。。。先在这里谢谢大家了。。。 ! h& {8 r. a$ I

+ o+ N! M/ L4 Z
6 @, ~3 m% {: a& k8 ~

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)