记一次平平无奇的渗透过程

Aspark

​0x01 信息搜集
渗透都是从信息收集开始这个无疑，推荐几个收集的平台。

https://search.censys.io      //端口收集扫描比较全
https://hunter.qianxin.com    //可视化图形资产，可与fofa结合使用
https://duckduckgo.com        //找后台比较无助的时候可以尝试site:xxx.com login
https://fofa.info             //资产测绘
https://ww.shodan.io          //shodan

​

编辑

平平无奇，验证码也没有

​

编辑

添加单引号报错，果断选择扔进sqlmap

​

编辑

​

编辑
之后跑出密码，登进去后台里面却发现并没有什么功能点，只是一些文章内容。

php系统嘛，那就翻文章看参数测注入咯。

​

编辑
小飞棍来咯，报错了继续扔sqlmap

​

编辑
这里说一下，后台登陆的地方注入和登陆进来后的注入，俩个地方使用的库是不一样的，所以出来的表内容也是不一样，但可惜都不是DBA没法直接shell。

这里设第一次跑的库为A，第二次为B

​

编辑
利用B数据库出的密码表成功登陆上了该目标的“几个”后台地址（manage、control） ，但可惜目标后台所使用的是ckfinder编辑器，并且修复了漏洞，都是白名单上传，一瞬间又丢了思路。
​​

​

编辑

0x02 GETSHELL
梳理现有的密码表及资产，通过shodan插件发现此IP下还有其他的域名资产。

​

编辑
访问资产，在这锁定了EIP.XXX.com，使用现有A数据库的密码表成功登陆该平台，且锁定了上传功能点，任意文件上传直接拿shell。

​

编辑
传shell之前在这有个小插曲，就是我担心发布公告动静会太大，一直没敢发包去传，导致在拿shell的时候卡了很久，其他系统后台的地方上传点都是白名单。

​

编辑

​

编辑

运气比较好，是域内用户，接下来就是抓hash、浏览器密码、导RDP链接记录，收集该目标机器上一切有关的信息数据，以上工具GitHub都有，就不放下载链接了。
0x03 内网渗透
当前权限比较低，利用哥斯拉自带的烂土豆插件提权，抓hash。

​

编辑
有时候运气好的时候谁也挡不住，一手hash”游戏结束”，抓到了域管的账密。

​

编辑

​

编辑
但突然反应过来我们要的靶标并没有在这个段中看见，只好埋头开找，好在老天不负有心人，还是被我在他们内网主页的界面中找到了靶标系统。
​​

​

编辑

但这个资产并不是域内的机器，而是另一个段的工作组环境。自然用域管的账密IPC不 过去，但还是抱着侥幸的心里试了一下，万一账密一样呢？果然不出我所料密码错误咯。

​

编辑
既然是新的250段，那就上fscan轻扫一下咯（想着这个段里面能有其他资产可以打进去，然后抓hash再横向250.11，可惜这个段里面多数为打印机、门禁设备），这里建议在内网使用fscan的时候设置一下线程大小，默认线程是600，根据实际情况来降低线程并加上“-np -nobr -nopoc”参数（参考GitHub说明手册），仅探测banner信息即可。

探出该机器存在17010漏洞，不过我“怂”这个毛病还是犯了，担心打蓝屏的问题迟迟没敢出手，又导致了在这个环节卡了很久横不过去。实在没办法就去请教了张三师傅看看还有什么办法，他说: 怂个鸟？有漏洞打就完事了，里面有杀软的话（麦咖啡）就RDP过去给他停用，然后在他本地直接正向去打MS17010就行了。

这里由于目标机器不出网，采用了HTTP隧道，https://github.com/L-codes/Neo-reGeorg，RDP过来第一件事先停用杀软，接着就是扔exp用本地直接打，ms17010过程不在放图（添加用户+RDP连192.168.250.11）。

​

编辑

开启3389命令：

1. REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

复制代码

放行3389防火墙：

1. netsh advfirewall firewall add rule name="Remote Desktop Protocols" dir=in protocol=tcp localport=3389 action=allow

复制代码

在连RDP的过程中遇到一个小坑，解决方案参考以下链接。

1. https://blog.csdn.net/weixin_43693967/article/details/124623198

复制代码

​

编辑

​

编辑
停用后，打payload，然后连192.168.250.11。

​

编辑
过去250.11以后抓一手hash，并没有抓到administrator的hash，那就导注册表咯。

1. <pre><code>reg save HKLM\SYSTEM system.hiv                         </code></pre><pre><code>reg save HKLM\SAM sam.hiv</code><code>Mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" </code></pre><pre><code>exit</code></pre>

复制代码

mimikatz解密出来administrator的NTML，然后去cmd5解密，运气好解出来了，是个弱口令，切换到admin用户，并删除之前新增的用户，接下来就是翻东西了。

全程结束
文笔较差！轻点喷。第一次写文章很紧张，本次只记录有效操作过程，内网中有很多段，但对我来说没有什么用，就没有去做。而且在打点的时候也兜兜转转绕了很多的弯路，“怂”这个毛病我得改改了，哈哈哈。

本次全程手撸无上线，内网横向其他机器翻文件的时候使用的是IPC、隧道RDP。

​