记一次渗透到拿下服务器的全过程

Xor0ne

记一次渗透到拿下服务器的全过程原创作者：伟大宝宝

来自于公众号： 白帽子社区
来自专辑
安全研究院
原文链接：https://mp.weixin.qq.com/s?__biz=MzUyMTAyODYwNg==&mid=2247486621&idx=1&sn=dd228873d9cba13835afb9cd83c06ed6&chksm=f9e01a0cce97931a663af9bc591229b86cb5691afa50836349ae23999333d6d7b0e2d2b986ab&mpshare=1&scene=23&srcid=0730e51255xSSHzWCExxgfCi&sharer_sharetime=1596114395427&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd




很少发实战类的文章，今后会多发一些此类的文章。

首先对目标的子域名信息进行了搜集
​
通过对服务的扫描后发现没有敏感服务，只有一台服务器开启了远程桌面服务，但是爆破未果。
开始对官网进行渗透，但是没发现可利用漏洞，最后发现了是采用的XYHCMS，所以去官网下载了一套源码，留着后续审计。
​
在crm系统中发现登陆界面存在一处SQL注入。
​
​
使用sqlmap获取数据库数据，通过对数据库内的数据分析，发现管理员的密码就是123
，但是使用密码123登录发现依然失败。
​
经过分析后发现，虽然程序对第三个字段进行查询，判断企业号是否存在，但如果使用全查询的话会导致返回很多结果，以至于admin用户的真实信息与第三个字段所查询的信息不符。所以再次对数据库的数据进行梳理，最终使用指定id成功登录admin账号。
​
目测是测试系统，然后对上传点进行webshell上传的测试，最后发现他的功能没开发完....
所以本次只收获了一批员工和客户数据。做了个记录用来后续的社工钓鱼。

继续切换其他域名，对订单系统进行测试，因为验证码不刷新所以对admin进行了一波爆破，但是没有成功，包括之前从数据库中弄的密码也都登录失败。
​
然后我试了一下注入
​
​
竟然进来了-。-....但是不是admin账号。所以换了一下语句，使用admin’--进行登录。将条件查询语句的用户名固定为admin
​
然后成功登录admin账号。发现在企业信息编辑的地方存在上传点，所以尝试进行上传，因为是asp.net的环境所以这里尝试上传aspx文件。结果被拦截
​
通过响应速度判断可能是存在前端验证，所以修改文件名为jpg再次进行上传。这次却没有抓到数据包。
最后在页面源代码中找到了js文件
​
如果禁用js会导致上传功能失效，所以自己本地构造表单，但是由于上传点是一个Flash组件无法查看源代码，不知道文件上传的字段名是什么。
偶然间在抓包中发现了这么一个请求。
​
将UploadFileService字段解码。
​
这个时候看到了一个图片下载的功能，抓取数据包，猜测有可能存在文件下载漏洞
​
但是无法得知路径所以这个也比较鸡肋，暂时没有利用方法。

在接下来的测试过程中发现了一个重要线索，在点击不同的栏目的时候程序会发起一个请求调用对用的功能，当功能不存在的时候就会报错，其中就包含了绝对路径。
​
将报错中的路径与之前找到文件上传的路径进行拼接，然后使用文件下载漏洞测试几次后，成功下载文件上传类的文件。在源码中找到了文件参数名。
​
构造表单进行上传，成功获取webshell
​
​
使用msf生成反弹脚本，通过webshell上传后执行，成功获取shell权限。但是目前的权限很低，没办法做太多操作。
​
这里先扫描系统安全补丁信息。
​
可以看到有一个MS16-075，这里将漏洞脚本上传到服务器中。然后在meterpreter中执行脚本
​
查看当前可用令牌-+*-
​
使用system令牌
​
可以看到我们的权限已经变成system权限了。

因为服务器内网开了3389所以用lcx做个端口转发到我的linux主机上面，然后我本机用windows去连接我主机的3389端口即可。
​

拿下服务器。
​