本文由掌控安全学院 - 石英 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
又是年底护网季,地市护网有玄机,一路磕磕又绊绊,终是不负领导盼。扯远了-_-!!,年底来了一个地市级护网,开头挺顺利的,口子很简单找到了,归属也很好定位,但是中间突破的过程就是困难重重。因为是小地市,加上主办方年底也想出点成绩,所以对目标没太多限制,是这个地市的企业基本都算,备案能归到就行。资产收集
那就简单多了,直接quake:city:”城市名” and is_domain:”true”,大概好几千,数量还行,但是时间不多,总共打三天![]( "null")
前期打点
先是找到了个某个企业的企业微信管理系统(伏笔),经典弱口令admin/123456进入![]()
![]( "null")
因为是护网,也就没开被动扫描慢慢找注入点了,直接奔着上传功能就去了,在素材管理处找到了上传点![]( "null")
经典的前端校验,所以直接抓到上传包改上传包的文件名就完事了![]( "null")
![]( "null")
到这觉得这不结束了吗,已经想象到传里fscan跑内网,翻翻配置文件写写报告不就可以交了吗?但是很明显我想多了,先是传普通马直接一剪梅的朋友-落地没,然后没办法传了个免杀的大马进去,执行了下tasklist发现有def,然后又whoami看了眼权限(伏笔回收)![]( "null")
当时我的表情一定很精彩,这权限真的头一次见 然后这里我的思路进入了误区,就一直在想怎么把def干掉,之前有用过一些一键击溃def的工具 找了之前用过的,又找了一些新的,大概是因为权限太低或者太久远的原因,都失败了,都没能成功把def干掉 然后同事说里面有向日葵,嗯?有这好事?当即用上我写的读内存的工具读id和密码,失败,然后找了其他大佬的,依旧失败,猜测还是权限问题。然后又传了gotohttp进去,好消息,连接上了,坏消息,黑屏,啥也干不了(https://gotohttp.com/goto.12x)突破
正苦于无法突破,手里又没有好的免杀马的时候,突然想到,既然他只有def,那理论上Unicode混淆应该能过,所谓Unicode混淆,就是把木马中某些字段用Unicode编码替换掉,在替换了两三个单词之后,果然成功连上了哥斯拉![]( "null")
本来想着事情应该会简单些了,直接用哥斯拉插件提权就是了,没想到烂土豆用不了,执行失败,传里的fscan莫名其妙的执行不了,读向日葵的工具也是用不了,本来想着搭个代理挂着代理扫,然而甚至连frp和neo都搭不起来,我感觉我要发飙了,真是一步一个坎。既然不让我方便,那我就只能暴力一点了,3389开了吗?开了!直接petitpotam提权到系统权限创建Administer组用户 创建用户:net user 用户名 密码 /add 加入组:net localgroup Administrators /add 用户名![]( "null")
然而到这一步,在frp和neo都用不了的情况下,那只能请出代理新秀,suo5!然而也用不了 再请新秀!grs!然而这次,这次可以用了。grs用起来比较复杂grs简单使用方法使用时首先需要生成配置、客户端、用户端:grss gen www.qq.com:443 127.0.0.1:443参数说明:www.qq.com:443 是被模拟的目标127.0.0.1:443 是服务器监听地址,这里要填写公网IP,端口最好和模拟目标一致若SNIAddr或ServerAddr不指定,则会尝试加载已有配置文件,默认生成3个不同id文件名的客户端,可通过-c参数指定命令生成后会有三种软件grss(Golang Reverse SOCKS5 Server) 服务端,需要有公网IP的机器上grsc(Golang Reverse SOCKS5 Client) 客户端,需要运行于想要穿透的内网中机器上grsu(Golang Reverse SOCKS5 User) 用户端,需要运行于用户机器上,提供socks5服务
简单来说就是grss在vps里,grsc传到靶机里,grsu在本地执行启动服务端:grss serv启动客户端:grscX启动用户端:grsu -id 0 这里id参数对应了grsc的id,不同id会连接不同的grsc,默认生成三个
完结
至此,胜利的方程式已经集齐了!代理可以用了,用户已经创建好了,def,咱俩该算账了!rdp挂上代理直接连上,桌面还看到了向日葵,还是全用户安装的,不过现在已经不重要了,直接把def关掉!![]()
![]( "null")
几台17010,怕打蓝屏就没打了,还有一部数据库,不客气,连上直接上线cs![]( "null")
![]( "null")
![]( "null")
![]( "null")
![]( "null")
![]( "null")
又在数据库这台里面的浏览器中发现了OA系统的地址和账户口令,还是管理员的![]( "null")
![]( "null")
剩下的就是一些rdp和ftp的弱口令了,截图我就不放了申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
![]()
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
![]()
分享后扫码加我!
Xray挂机刷漏洞
零基础学黑客,该怎么学?
网络安全人员必考的几本证书!
文库|内网神器cs4.0使用说明书
代码审计 | 这个CNVD证书拿的有点轻松
【精选】SRC快速入门+上分小秘籍+实战指南
![]()
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
