模拟真实环境之内网漫游
0x00 前言
目標ip:192.168.31.55(模擬外網)
目的:通過一個站點滲透至內網,發現并控制內網全部主機
0x01 信息收集
用nmap進行端口探測
瀏覽站點時查看元素發現該站點是DotNetCMS v2.0
該版本cms存在SQL注入漏洞,還存在繞過登錄進入后臺的漏洞。這里利用注入漏洞進行滲透,登錄后臺的沒有截圖就不說了。
8080端口存在一個路由管理界面
0x02 SQL注入拿shell
注入點:http://www.test.com/user/City_ajax.aspx?CityId=1,利用sqlmap跑注入點
系統版本為windows server 2008,中間件是IIS 7.5 注意這個版本,存在解析漏洞
查看當前權限
權限是root權限,嘗試用--os-shell獲得一個交互shell
獲得一個shell,發現ip地址并不是訪問的ip,這是一個內網ip
嘗試寫入一句話,由于不知道絕對路徑,這又是一個aspx的站點,試試默認路徑
0x03 拿系統權限
寫入后成功連接,用蟻劍的虛擬終端運行命令發現權限不高,所以用回os-shell
用os-shell創建一個賬戶,并加入到管理組
net user查看已經創建成功
該服務器3389是開啟的(沒截圖),就不用自己開了,接下來要想遠程連接就需要先代理進入內網,我用reGeorg打通隧道,通過蟻劍把它的腳本傳到服務器上
這里可以看到已經是成功打通了隧道,現在進行代理,我用的是proxychains,先需要進行配置
?
?配置完成后用代理打開遠程連接
0x04 發現新主機
?遠程連接后發現administrator用戶的桌面上有一個txt文檔,內容像是賬號密碼,一個郵箱的,一個ikuni的,路由是ikuni的,嘗試登錄
?
只允許局域網內ip登錄,代理再登錄
瀏覽該頁面發現還存在一個172.19.23.123的主機
訪問發現是一個郵件服務器,使用的U-MAIL,用之前發現的郵箱賬號密碼登錄
成功登錄,利用u-mail服務器爆發過的漏洞進行嘗試
利用payload打出user_id值:/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk
利用 html exp上傳圖片馬,并得到了file_id值 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><FORM name=form1 method=post action="http://mail.comingchina.com/webmail/client/mail/index.php?module=operate&action=attach-upload" enctype=multipart/form-data>
上傳文件:<input type="file" name="Filedata" size="30">
<INPUT type=submit value=上傳 name=Submit>
利用IIS 7.5的解析漏洞訪問這個圖片馬,訪問地址為/webmail/client/cache/{user_id}/{file_id}.jpg/.php
未完待續~~~
轉載于:https://www.cnblogs.com/xunta/p/10995645.html
總結
以上是生活随笔為你收集整理的模拟真实环境之内网漫游的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 使用内部(com.android.int
- 下一篇: [边分治+线段树合并]「CTSC2018