Vulntarget-i:

写这个主要是说明几个自己打靶场经过遇到的一些坑点,又或者说是自己’纯’到了………………

思路:

首先基本的上来就进行端口探测,探测到外网主机,开放端口,有一个8000,80端口,都分别访问了一下

  • 80端口是一个IIS服务暂时没有什么收获

    • 对目录进行一个扫描也没什么收获

  • 8000端口访问,发现其浏览器指纹是“米拓”想去查看其相关的历史漏洞

    • 目录扫描:得到一个关键路径”/adminer/adminer.php“Adminer是一个数据库管理工具,版本比较低就上网搜索其历史洞,找到了一个任意文件读取(通过读取一些配置文件来获取关键密码等信息)的历史漏洞,通过这个历史洞我们读取了关键的config文件读取到数据库账户和密码,查看”variables“,”%secure%“,发现关键内容为空说明可写文件!

      secure_file_priv是mysql中限制文件上传操作的参数

      1.当secure_file_priv=””,为空时表示可以在任意路径上传文件

      2.当secure_file_priv=”特定路径”,表示只能在特定路径进行上传文件

      如secure_file_priv=”C://“,表示只能在C盘下上传文件

      3.当secure_file_priv=NULL时,表示不允许在任何路径上传文件

      • 上传常规马容易被拦,开着安全dog的,于是乎直接传冰蝎原生马,又或者传一些二开的冰蝎马,成功上线一台主机
        • 这里我们需要了解一下啊:IIS站点配置文件存放路径”C:\Windows\System32\inetsrv\config\applicationHost.config
        • 然后利用load_file()进行文件读取,成功读取配置文件内容以后发现路径:”C:\vulnIIS\俱乐部“,这里有坑点,中文需要GBK编码

拿下一个前台的webshell以后,对这太内网主机进行一个简单的信息收集工作:

  • ipconfig /all
  • systeminfo

然后CS生成一个免杀马,上线拿到一个持续的权限

  • 提权:利用烂土豆提权,直接利用插件就能行

    • MS16-075:”G:\桌面\假期学习笔记\tools\windows_tools_常见提权漏洞\W-Privilege-Elevation\MS16-075

      三个方式提权

      • 插件直接点一点

      • execute-assembly :在目标上内存加载执行本地.NET程序。

        1
        execute-assembly G:\\桌面\\假期学习笔记\\tools\\windows_tools_常见提权漏洞\\W-Privilege-Elevation\\MS16-075\\ltd.exe C:\\Users\\Public\\Downloads\\last.exe

        远程加载ltd.exe。提权个人认为这是非常酷炫的!!!

      • 上传对方主机以后直接打,不过会留痕,我还是觉得上面两种方式更推荐,不过打靶场过程中没有要求。

通过高权限继续进一步信息收集,我认为大佬说的对:”渗透的本质是信息收集“,你能挖掘的深度取决于你信息收集的广度

  • 对凭据进行一些收集
  • hashdump
  • 尝试明文密码收集
  • ………

搭建代理进一步进行横向扩大战果:

  • 可以通过CS搭建socks5通道。
  • 上传venom,frp,nps等代理工具,考虑到多级代理,我用的是venom,操作简单,但当然可以搭建多级代理的工具还是有很多:推荐一个链接(https://xz.aliyun.com/t/10279?time__1311=Cqjx2DcDgDuDnBDlxGo8KQuC%3D1wxGQ3F4D#toc-2)

继续信息收集……..

  • 成功搭建反向代理以后,我直接本地扫描内网,探测主机,不过也可以直接上传小型的扫描工具上服务器。看个人吧。
  • 扫描出8000端口等
    • 进一步扫描进行目录扫描发现SiteServer cms有后台管理的历史洞但是如何发现密码的呢??这里有一个平常我信息收集会忽略的点
      • 远程开启服务器3389端口直接开启远程桌面,前方的信息收集工作,我忽略了普通用户信息的价值,就没有对普通用户的明文密码进行收集工作,后面我直接收集到其密码,远控登录到桌面,发现其有一个搜狗浏览器,翻阅其登录记录获取到了管理员密码!!!
        • 在此我就给自己敲响一个警钟!!不要放过任何一个可以收集到的信息,不要自以为不重要!就没有不重要的信息!!
    • 通过后台历史洞文件上传直接getshell

拿到第二台主机的webshell以后

  • 简单信息收集

  • tasklist

    • 前面忘了提了,查看进程信息,看看杀软!

  • ipconfig

  • sysyteminfo

  • …….等等

上传一个免杀马:(通过转发上线的方式)小声bb有点用

  • 在这里我对这个代理转发上线的理解就是,msf中的通过sessions+添加路由的方式上线,通过已有的路由,转发流量上线主机。CS不愧是MSF图形化前生,还是很强大的。

提权:

  • 和上面我提到的三种方式一样
  • 在此提一嘴Ladon插件内置了一个远程功能!

进一步信息收集:

  • 凭据信息
  • 文件浏览,读取配置文件里面的一些关键信息,发现了mssql的远联密码等等,不过注意要搭建代理才能访问新发现的网段!!

远联读取数据库内关键信息,还是信息收集!!

  • 搜集到sa用户的密码hash,直接cmd5爆破,爆破成功
  • 登录就是dba
    • 这里直接用mdut工具,我嘞个豆上去就是传个马,解决战斗!!!

提权同上成功拿下全部主机!!!

综上所述:

我体会到内网渗透最重要的其实不是通过漏洞点打进内网这个点,更重要的点是信息收集,几乎全程都在一个信息收集的状态,我做的一切都是为了信息收集,只有注意到那些容易遗漏的点,才能获得意想不到的成功!

总体来说,收获颇丰!