安全矩阵

 找回密码
 立即注册
搜索
查看: 4788|回复: 0

记一次渗透到拿下服务器的全过程

[复制链接]

114

主题

158

帖子

640

积分

高级会员

Rank: 4

积分
640
发表于 2020-8-2 11:24:20 | 显示全部楼层 |阅读模式
记一次渗透到拿下服务器的全过程原创作者:伟大宝宝

来自于公众号: 白帽子社区
来自专辑
安全研究院
原文链接:https://mp.weixin.qq.com/s?__biz=MzUyMTAyODYwNg==&mid=2247486621&idx=1&sn=dd228873d9cba13835afb9cd83c06ed6&chksm=f9e01a0cce97931a663af9bc591229b86cb5691afa50836349ae23999333d6d7b0e2d2b986ab&mpshare=1&scene=23&srcid=0730e51255xSSHzWCExxgfCi&sharer_sharetime=1596114395427&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd




很少发实战类的文章,今后会多发一些此类的文章。

首先对目标的子域名信息进行了搜集

通过对服务的扫描后发现没有敏感服务,只有一台服务器开启了远程桌面服务,但是爆破未果。
开始对官网进行渗透,但是没发现可利用漏洞,最后发现了是采用的XYHCMS,所以去官网下载了一套源码,留着后续审计。

在crm系统中发现登陆界面存在一处SQL注入。


使用sqlmap获取数据库数据,通过对数据库内的数据分析,发现管理员的密码就是123
,但是使用密码123登录发现依然失败。

经过分析后发现,虽然程序对第三个字段进行查询,判断企业号是否存在,但如果使用全查询的话会导致返回很多结果,以至于admin用户的真实信息与第三个字段所查询的信息不符。所以再次对数据库的数据进行梳理,最终使用指定id成功登录admin账号。

目测是测试系统,然后对上传点进行webshell上传的测试,最后发现他的功能没开发完....
所以本次只收获了一批员工和客户数据。做了个记录用来后续的社工钓鱼。

继续切换其他域名,对订单系统进行测试,因为验证码不刷新所以对admin进行了一波爆破,但是没有成功,包括之前从数据库中弄的密码也都登录失败。

然后我试了一下注入


竟然进来了-。-....但是不是admin账号。所以换了一下语句,使用admin’--进行登录。将条件查询语句的用户名固定为admin

然后成功登录admin账号。发现在企业信息编辑的地方存在上传点,所以尝试进行上传,因为是asp.net的环境所以这里尝试上传aspx文件。结果被拦截

通过响应速度判断可能是存在前端验证,所以修改文件名为jpg再次进行上传。这次却没有抓到数据包。
最后在页面源代码中找到了js文件

如果禁用js会导致上传功能失效,所以自己本地构造表单,但是由于上传点是一个Flash组件无法查看源代码,不知道文件上传的字段名是什么。
偶然间在抓包中发现了这么一个请求。

将UploadFileService字段解码。

这个时候看到了一个图片下载的功能,抓取数据包,猜测有可能存在文件下载漏洞

但是无法得知路径所以这个也比较鸡肋,暂时没有利用方法。

在接下来的测试过程中发现了一个重要线索,在点击不同的栏目的时候程序会发起一个请求调用对用的功能,当功能不存在的时候就会报错,其中就包含了绝对路径。

将报错中的路径与之前找到文件上传的路径进行拼接,然后使用文件下载漏洞测试几次后,成功下载文件上传类的文件。在源码中找到了文件参数名。

构造表单进行上传,成功获取webshell


使用msf生成反弹脚本,通过webshell上传后执行,成功获取shell权限。但是目前的权限很低,没办法做太多操作。

这里先扫描系统安全补丁信息。

可以看到有一个MS16-075,这里将漏洞脚本上传到服务器中。然后在meterpreter中执行脚本

查看当前可用令牌-+*-

使用system令牌

可以看到我们的权限已经变成system权限了。

因为服务器内网开了3389所以用lcx做个端口转发到我的linux主机上面,然后我本机用windows去连接我主机的3389端口即可。


拿下服务器。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 06:35 , Processed in 0.019662 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表