找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1173|回复: 0
打印 上一主题 下一主题

渗透测试百货中国内网纪实

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:16:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

: n- U% O* Q5 A. r9 t
- ^/ V! d: Q: Q5 w

1 L1 R2 I$ b% R( S2 P! O2 v" P

' D1 l$ N9 o1 d7 t. y/ G 1、网站弱口令getwebshell
, f u8 m5 v% u
经过一番手工猜解找到网站后台,习惯性的用admin admin竟然进去了,浏览一番发现可以配置上传文件类型于是配置上传类型如图:
% q1 A. k. J1 E* t" g
% N" Q2 |- ~; ?+ a, F$ O/ w* Y6 x" [, @ 1.png
, @' m( F: w, N$ O
6 N% E7 P2 U1 ~$ {3 q
9 t: A2 P! Q; w! H! J- f5 r
然后去找地方上传,上传的时候发现虽然配置了aspaspx但是仍然上不上去,还曾经一度用后台的sql命令用db权限备份一个webshell,但是由于权限设置问题导致拿webshell失败,抽了一支烟,沉思了半会,决定在增加个上传类型cer,看看果然可以成功上传,如图:
& B# N% y$ A. {: c n* O 2.png
1 g! t& G6 X4 ^. q3 l' S
! h( d0 d) U8 ^% n( P
9 ^4 U6 I q. ~0 y, I4 S, @ 2
、各种方式尝试反弹3389
% H* B, ?8 K- g' ^5 F- D
拿菜刀连接执行ipconfig /all,发现是内网,如图:
6 N5 ?. D C8 \% A 3.png
: q9 O- k$ s/ I: B3 v+ l
, s; @6 I+ \& D9 U& X
服务器开了3389,下面我们想办法反弹出3389,笔者测试用lcx,tunnareDuh,均以失败告终,貌似像开了TCP/IP筛选限制3389登陆,好吧我们想办法关闭掉这个,方法有两种一种是用mt.exe执行,笔者这里用修改注册表的方式修改,方法如下:
& v( i2 b0 ^: g' o" D2 |# y% m. l
* ^( Z" I( C- {1 e- YTCP/IP
筛选在注册表里有三处,分别是:
4 C+ }1 n$ j) _1 x6 ]* eHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
1 `# M# R$ I3 Z7 ^8 E L0 S7 LHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
6 p; F$ r+ H" S$ H; v4 w6 QHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 ~- y7 ~; W5 T+ ^& X3 f  
1 [% H; {* |, Y, d! s5 _( z' v
导出到自己所指定的目录进行修改:
7 `3 b* G' M0 N# e# Q6 R3 sregedit -e D:\
网站目录\1.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip   
. s/ d% O" m, c) {regedit -e D:\
网站目录\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip   
' m0 a0 P" a( T! C% e0 ~ regedit -e D:\
网站目录\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip  
" ^: w+ v' A: h, z  
# F8 i5 c% W& l5 T% w5 w8 C
然后再把三个文件里中的:
2 M# `0 B9 n2 C- K“EnableSecurityFilters"=dword:00000001”
改为:“EnableSecurityFilters"=dword:00000000”
1 _5 T- b: T" K
再将以上三个文件分别导入注册表:
0 p1 Q+ W" w6 f regedit -s D:\
网站目录\1.reg
+ M5 [8 X7 t9 i0 g& Sregedit -s D:\
网站目录\2.reg
$ `) x$ V$ H1 j regedit -s D:\
网站目录\3.reg
: s9 R: \- A( a% L% P V
重启服务器即可!
9 B7 u. v' c6 H- ^
但是导出注册表打开看貌似不是TCP/IP筛选限制,因为找不到EnableSecurityFilters,好吧看来不是筛选限制,那怎么办,据说国外有很好的工具可以正则代理,我分析很有可能是做了安全策略导致的,因为我把防火墙相关的服务都关掉也不行,操家伙,工具名称叫:reGeorg-master,下面看我操作,先把这个代理脚本tunnel.aspx上传然后执行
3 y. k3 U c+ W5 }. a
3 R0 v! z# I2 s* g K0 G8 ~ 4.png
! J3 W0 ]- G* H: H6 |; U
8 e# M% b# _3 W7 G b
然后还需要安装个程序SocksCap,然后加载如图:
" p b7 a6 Z5 S
9 R, u& o- Y8 }1 |9 ?: A5.png
' O2 q Z2 U+ V: L4 w
下面我们开始用mstsc连接内网ip,首先连接10.177.2.14,结果连接不出来,连接另一个内网Ip 10.177.250.1也失败,后来干脆netstat –an一下发现目标机连接到10.177.2.11,端口是1433,如图:
' b9 r8 Q8 q8 }! ]4 ?: O0 G
* }2 r8 Q* v& P6 R& g; m f
7 i3 I, {6 |/ K# a6.png
! K& m( X, o* Y, l% g) C3 O
2 A1 V7 v4 r Z
既然使用s5正向代理,那可以试着连接一下这台数据库服务器3389看看,连了一下果然是可以连通如图:
) O9 {- H5 x( T2 T
6 v3 ]. a# L I2 K5 i t- n: F
9 b8 M2 w. f, @7 u( o 7.png
0 E \, l! P3 O6 G: Z- K5 \
6 [6 Y( l5 l i( Y3 z 2
、数据库提权与ms15-051提权双进内网服务器
% v% P4 P* _/ {) K+ ]7 z4 EOK
,现在的思路是翻网站数据库配置文件,找找sa密码然后先给10.177.2.11提权,然后再在11里面连接目标3389,没翻到sa密码此处略去300字,不过翻到一个账号是sa权限,连接数据库执行命令如图:
" x' |* W P7 e" e9 o8.png
- }1 `' \; b/ C6 D
1 ]* M9 S( V4 J4 y3 v& Y2 v
0 T& n/ O/ p/ e% y5 Y" N. m( i
添加账号密码的过程就不写了,肯定是可以进10.177.2.11了,下面我们还的给目标机添加账号密码,经提前测试,发现存在ms15-051漏洞,直接上exp执行命令如图:
0 f1 m+ W) G" G' o# e3 t
3 ^8 }0 Y" }3 Q. C4 }! e
2 l+ P9 N, s: }6 u2 D0 O! n/ B$ B; U9.png
7 C, ?& I' y5 w, A+ ]3 @1 S
同样添加账号密码,终于进了目标站的远程桌面如图:
$ _9 D, l9 \/ A* |6 }10.png

9 l* U" w p$ t5 Y4 ]" a4 P6 m
总结:至此这个网站的漏洞算是测试完了,测试中途有些卡顿,主要技术问题是反弹3389,测试各种反弹工具都失败,后来经验证不是做了TCP/IP筛选,我用远控也无法上线,貌点像通不了外网的样子,但疑惑的是为什么数据库服务器的3389却可以代理出来,同样在数据库服务器中远控也无法上线,如果有遇到过这样的朋友,请回贴不吝赐教。。。先在这里谢谢大家了。。。 ' d7 r5 o4 S( V2 |& i1 P) t4 z, [* @

' N* p2 v8 Y3 v! S- X

* N0 X# z9 I' t3 E6 w
3 D* L3 K7 T( \0 R

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表