1.shell1+內(nèi)網(wǎng)過程

該目標(biāo)從公眾號(hào)抓抓取到的url。面對(duì)問題，上傳黑名單需要繞過。

多次嘗試，最后繞過方式為 '1.jsp...'. 成功拿到webshell。

目標(biāo):

linux系統(tǒng)，普通用戶。

????

應(yīng)該怎么做:

提權(quán)管理員權(quán)限，為了方便，可以直接在linux安裝nmap進(jìn)行掃描。

嘗試使用最新sudo提權(quán)，未果。linux提權(quán)會(huì)存在破壞性，這里沒有進(jìn)行繼續(xù)提權(quán)。使用ew把流量代理出來，進(jìn)行內(nèi)網(wǎng)打點(diǎn)。

內(nèi)網(wǎng):

同C段，沒有幾臺(tái)機(jī)器。這里嘗試b段。
目標(biāo)機(jī)為L(zhǎng)inux，未取得有效信息，只能盲目打點(diǎn)。

存在普遍問題：

web存在很多，打了后臺(tái)弱口令。普遍都是jsp的。但是幾乎沒有上傳點(diǎn)。

內(nèi)網(wǎng)getshell:

1.web后臺(tái)aspx。任意文件上傳。

面臨的問題1：
? ?冰蝎馬無法連接，暫時(shí)使用大馬操作。
猜測(cè):
? ?1.冰蝎流量特征問題。
? ?2.webshell是否免殺問題。
解決:
? ?這里首先采用簡(jiǎn)單的webshell免殺，然后使用蟻劍進(jìn)行連接。成功連接。

問題2: 普通用戶,需要提權(quán)。

這里執(zhí)行systeminfo,發(fā)現(xiàn)目標(biāo)補(bǔ)丁打的很全. 同時(shí)存在360全家桶。需要繞過。

多次嘗試，這里最后使用CVE-2018-8120進(jìn)行提權(quán)。 補(bǔ)充:CVE-2018-8120(針對(duì)08和win7的內(nèi)核提權(quán)。)

問題3:關(guān)于文件上傳。

使用蟻劍文件管理，上傳文件發(fā)現(xiàn)有限制。 上傳到30%就被禁止，文件大小還不全，一般只有500k。1000k。?

猜想: ? ?用戶權(quán)限問題，目標(biāo)問題。?

解決辦法:?

關(guān)于win下的臨時(shí)文件夾temp用法， ?采用上傳到臨時(shí)文件夾。C:\windows\temp\ ?成功上傳。成功提權(quán)。

問題4:關(guān)于內(nèi)網(wǎng)上線問題。?

打算cs上線問題，本地bypass360成功。內(nèi)網(wǎng)沒有反應(yīng)。 最后發(fā)現(xiàn)內(nèi)網(wǎng)不通外網(wǎng)～～

?如何上線:

內(nèi)網(wǎng)機(jī)器沒辦法上線，可以采取中轉(zhuǎn)多層代理的方式進(jìn)行上線。

問題5:3389登陸問題?

利用ew代理到內(nèi)網(wǎng)，發(fā)現(xiàn)無法訪問內(nèi)網(wǎng)b段段3389. 解決辦法: 多層代理。本地全局ew代理進(jìn)行第一層代理。然后內(nèi)網(wǎng)再進(jìn)行http隧道代理。第二層代理成功訪問。

2.內(nèi)網(wǎng)中存在zeppelin

探測(cè)到zeppelin服務(wù)，可以進(jìn)行代碼執(zhí)行

3.內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)弱口爆破等。

shell2

突破方式：
?后臺(tái)存在弱口令(看字典,3個(gè)人嘗試只有一個(gè)人成功。)。
存在問題:
?白名單
解決問題:
?iis6.0的解析漏洞。目標(biāo)存在延時(shí),第二天就可以成功了。
?asp文件。上傳為: 1.asp/1.jpg 都為asp解析。

目標(biāo)2003 asp iis6.0

未突破的問題:
? ?cmd被禁用。無法執(zhí)行各種命令.
猜測(cè)存在安全狗:
? ?這里采用之前研究過繞過方式，無果。
? ?沒有內(nèi)網(wǎng)放棄。
一般解決方式:
? ?修改終端位置。這里無法復(fù)制，

shell3

突破方式:
? ?后臺(tái)普通用戶口令，某位置存在sql注入
? ?-sqlsever數(shù)據(jù)庫(kù)-xpcmdshell-cs上線。

小問題:
? ?需要提權(quán)
? ?進(jìn)行hash讀取，發(fā)現(xiàn)目標(biāo)都是空密碼。
? ?目標(biāo)存在360。360不讓空密碼登陸。
解決辦法:
? ?爛土豆提權(quán)，hash讀取都是空。
? ?添加用戶，發(fā)現(xiàn)360不讓登陸。
? ?最后把目標(biāo)的administrator 的空密碼修改成復(fù)雜密碼成功登陸。

關(guān)于數(shù)據(jù)庫(kù)

????外網(wǎng)存在一個(gè)sqlsever dba權(quán)限的數(shù)據(jù)庫(kù)-最終沒有突破。記錄一下

關(guān)于mssql數(shù)據(jù)庫(kù)拿到webshell:

.xpcmdshell:
? ?支持堆疊查詢。這里不支持堆疊查詢。


關(guān)于MSSQL注入 突破不能堆疊的限制執(zhí)行系統(tǒng)命令:
使用openrowset來突破。需要Ad Hoc Distributed Queries 組件。
payload: ? ?
select 1 where 1=1 if 1=1 execute('exec sp_configure ''show advanced options'',
1;reconfigure;exec sp_configure ''xp_cmdshell'', 1;reconfigure;exec xp_cmdshell
''whoami''');

2.sp_oacreate

3.日志備份

????更多精彩關(guān)注公眾號(hào)