中国网络渗透测试联盟

标题: 渗透测试百货中国内网纪实 [打印本页]

作者: admin 时间: 2018-10-20 20:16
标题: 渗透测试百货中国内网纪实

& Q+ Z( A& q- b5 ^9 a/ R3 v
5 H2 M& W1 Z1 Z, X+ C

) v; C) x9 B9 @) x% c* t& o 1、网站弱口令getwebshell
7 c, p3 d8 D# x3 [7 `$ I* ]% k+ ? 经过一番手工猜解找到网站后台，习惯性的用admin admin竟然进去了，浏览一番发现可以配置上传文件类型于是配置上传类型如图：
# P% ?* J, k, ]$ z1 ~% x* ^& g
/ o! b3 [# b- A
' j: l8 I. ~) u" ~ a
) ?1 Y5 _4 H* m6 \" [- s8 y
% G6 `8 ^: e( R然后去找地方上传，上传的时候发现虽然配置了asp、aspx但是仍然上不上去，还曾经一度用后台的sql命令用db权限备份一个webshell，但是由于权限设置问题导致拿webshell失败，抽了一支烟，沉思了半会，决定在增加个上传类型cer，看看果然可以成功上传，如图：
, b, W1 v/ E( {, V& ?( S
5 [4 L4 W7 H. I& [
" S% T9 I1 M4 ]+ f' `& S# [
" W; j/ c, @1 }* @) Z 2、各种方式尝试反弹3389
; K% {! C+ t- U. N. X. Y拿菜刀连接执行ipconfig /all,发现是内网，如图：
( z; G. t9 g r F, p% w
4 f0 r1 a' |6 k6 I
$ ~6 r5 S; Q% W7 i服务器开了3389，下面我们想办法反弹出3389，笔者测试用lcx,tunna，reDuh，均以失败告终，貌似像开了TCP/IP筛选限制3389登陆，好吧我们想办法关闭掉这个，方法有两种一种是用mt.exe执行，笔者这里用修改注册表的方式修改，方法如下：
2 C5 E' x( ~5 w7 `/ s$ d( i
8 W# D1 ^+ J6 h' _: c4 k TCP/IP筛选在注册表里有三处，分别是：
& Q3 {; ^# m, _7 W _ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
" m h! ~# ?0 o6 }+ u& a HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
8 H/ _+ ^- ^# X5 P% o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& Q; V% a$ P. \
5 w6 z$ x( I6 F+ Y& @- m 导出到自己所指定的目录进行修改：
& ?9 `! {/ B8 x; xregedit -e D:\ 网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
' V6 b) S6 g; o! _: gregedit -e D:\ 网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- k+ F/ C; o! o3 |! d: Jregedit -e D:\ 网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
. H. }( e; t* g) e5 Y8 G
# X# ~# T5 l* m/ [ P7 a然后再把三个文件里中的：
+ h& e& u5 |8 x% F/ f“EnableSecurityFilters"=dword:00000001”改为：“EnableSecurityFilters"=dword:00000000”
- [% g x7 T( J再将以上三个文件分别导入注册表：
% _. r5 _. S! Nregedit -s D:\网站目录\1.reg
" ~- _8 Y' P5 C. d& y6 \1 C regedit -s D:\网站目录\2.reg
) `9 M* @8 [5 z) j. q regedit -s D:\ 网站目录\3.reg
; g7 q; }2 d* ^" n( L8 s重启服务器即可！
! ?# \2 U' Y* D' ^" E 但是导出注册表打开看貌似不是TCP/IP筛选限制，因为找不到EnableSecurityFilters，好吧看来不是筛选限制，那怎么办，据说国外有很好的工具可以正则代理，我分析很有可能是做了安全策略导致的，因为我把防火墙相关的服务都关掉也不行，操家伙，工具名称叫：reGeorg-master，下面看我操作，先把这个代理脚本tunnel.aspx上传然后执行
6 b0 Z$ E$ D% E% b! A6 k
1 \3 u& q' u1 E1 g9 [& Y
5 z9 y4 }) d; {! V0 @) Y) G+ l
# ^5 ^( Z0 z) D0 U( n然后还需要安装个程序SocksCap，然后加载如图：
R, A5 x) [1 N5 M
7 h& Z4 H) {, u- D8 P
2 o: h# t1 A/ T4 k7 e$ h下面我们开始用mstsc连接内网ip,首先连接10.177.2.14，结果连接不出来，连接另一个内网Ip 10.177.250.1也失败，后来干脆netstat –an一下发现目标机连接到10.177.2.11，端口是1433，如图：
( F: b3 n! m6 e* N. r+ u2 r
6 i' e7 G ~ E3 T3 M/ y7 L
3 F8 u/ g% K$ P2 w9 A
" E! k- f% B* |
( [ H* Z* {: m1 d: X5 O0 O& x n% H既然使用s5正向代理，那可以试着连接一下这台数据库服务器3389看看，连了一下果然是可以连通如图：
* z8 [6 y, g- ~# G1 T
8 e$ o" Q0 ?6 b
' \. l6 |4 ~6 U4 h9 X2 W* m. C t
8 d0 a7 B5 {' s. D# K5 Z9 ^0 ]
, @8 Q7 G( A6 t$ `3 w" A2、数据库提权与ms15-051提权双进内网服务器
- K* q) s; C8 r) z OK，现在的思路是翻网站数据库配置文件，找找sa密码然后先给10.177.2.11提权，然后再在11里面连接目标3389，没翻到sa密码此处略去300字，不过翻到一个账号是sa权限，连接数据库执行命令如图：
2 A3 W) r* `& L; |; C
) |4 N. S3 n2 W/ _) }4 A
* k$ C- C E! x" g, L3 |
+ n& G' w, |! T' @5 Y& Q* a, L. X; B添加账号密码的过程就不写了，肯定是可以进10.177.2.11了，下面我们还的给目标机添加账号密码，经提前测试，发现存在ms15-051漏洞，直接上exp执行命令如图：
) _. I2 r. ~9 G' {( u9 \. n' n! j
( b8 Y- u T5 ], A9 p k! u2 y3 P
: g, d# Q8 I m4 `9 ]# n+ e( c
A- n8 Y0 }7 i同样添加账号密码，终于进了目标站的远程桌面如图：
' X% b% t* u! ? I+ z. [ d
4 u- _; T) h$ @5 s, { 总结：至此这个网站的漏洞算是测试完了，测试中途有些卡顿，主要技术问题是反弹3389，测试各种反弹工具都失败，后来经验证不是做了TCP/IP筛选，我用远控也无法上线，貌点像通不了外网的样子，但疑惑的是为什么数据库服务器的3389却可以代理出来，同样在数据库服务器中远控也无法上线，如果有遇到过这样的朋友，请回贴不吝赐教。。。先在这里谢谢大家了。。。 7 R4 A8 l' b- R

' a. A8 l; r0 r. b
, ]/ J5 n" J3 e% I

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)