.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00序文
上記のタスクが与えられました。マップシステムを見たとき、私は混乱しました。この種のシステムは、通常、相互作用なしでBaiduマップのAPIを調整することであり、穴を掘ることは非常に困難です.
情報収集の波の後、メインサイトの関数がユニットのWeChat公式アカウントにジャンプできることがわかったため、アップロードポイントがあったため、この記事が見つかりました。
0x01ファズ
アップロードポイントを使用して、ナンセンスについて話し、接尾辞を渡すことができるかどうかを確認しましょう。
最初に画像を渡し、接尾辞を変更してアップロードしてみてください
それは直接なくなっています。ホワイトリストですか?自由にアップロードしてみてください
アップロードできることがわかりました、多分wafが存在しますか?
コンテンツを1つの文に直接渡して、それが傍受されるかどうかを確認します
結果は傍受されず、コードが接尾辞でいくつかの操作を行ったはずです。
次はファズです。長い間、接尾辞名を渡すことができないことがわかりました。そのため、新しいラインメソッドのエラーを直接報告しました。
私は以前に犬を安全にして試してみた方法を取り出して、コンテンツディスポジション:フィールドを溢れました。
成功したことが判明しました.
0x02別の質問
トランスミッションはアップロードされましたが、完全なパスは返されず、伝送がどこにあるかわかりません。これの何が問題なのか
現在のディレクトリをスキャンすると、何も見つかりませんでした
次に、第1レベルのディレクトリをスキャンして、アップロードディレクトリがあることを発見しました。
スプライシングとけいれんを正常に試してみてください
0x03要約
1。ターゲットサイトの公式アカウントに添付ファイルのアップロードがあるため、ファイルアップロードの脆弱性2がある場合があります。2。ここでは、テストをテストします。AAA、コンテンツはこれがテストであり、アップロードできることを見つけてから、ターゲットサイトにWAFがあり、接尾辞名がインターセプトされていると推測します。次に、アップロードされたコンテンツはトロイの木馬であり、これを正常にアップロードできることをテストし、コンテンツは傍受されません。 3.コンテンツディスポジション:インターセプトフィールドを介して、WAFをバイパスしてファイル名をアップロードできますが、アップロードパスがそうであることはわかりません。Content-Disposition:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 5.最後に、Ice Scorpionを介してリンクに成功しました。出典:https://xz.aliyun.com/t/10366
現在のマシンがパブリックネットワークサーバーであることを発見することにより、パブリックネットワークIP:xxx.xxx.xxx.16のみが
ARPキャッシュを表示することにより、現在いくつかのパブリックネットワークマシンがあることがわかりました。
ただし、このパスワードを使用してMSFを使用してパスワードを介してCセグメントをスプレーすると、ホストが正常に水平になっていないことがわかりました。
その後、MSFとCSがリンクされ、MSFシェルを再度CSにポップし、許可を維持しました。
手動分析により、SQL注入が見つかりました、そしてそれはDBAの許可でした:
その後、管理者ユーザーが追加されてから3389をオンにしました(Nortonのため、定期的な無料キルのために時間がないので、主にポイントを獲得したので、サーバーに直接ログインしました)
この時点で、私は92このマシンをスプリングボードとして使用して、71デスクトップにリモートでログインしました。
管理者のデスクトップがクローン化されました。
この時点で、以前に追加されたアカウントにログインして、リモートデスクトップに移動します。管理者のデスクトップです:
一連の情報収集とパスワードコレクションを通じて、MSSQLおよびすべてのサイドステーションの許可を取得しました。
収集されたパスワードを介して、セグメントCのパスワードを正常にスプレーし続けます。 MSSQL:xxx.xxx.xxx.239
この時点で、これら3つのマシンの許可:16、92、および239は取得されましたが、イントラネットはまだ発見されておらず、この時点でボトルネックに巻き込まれました。
その後、同様に、シェルがCSにポップされ、ユーザーが追加され、リモートデスクトップグループが追加されました。
その後、ログインはログインが失敗したことを発見しました。
この時点で、MSTSC/管理者はバイパスし、ターゲットリモートデスクトップに正常にログインできます。
MSTSCログインレコードなど、多くの貴重なものを見つけました。
NAVICATデータベース資格情報を取得します。
とXshellには多くのSSHがあることがわかりました。
このことを使用してパスワードを後で確認する:(これらのものを使用したくなかったので、パスワードを1つずつチェックするのは面倒すぎます)
その後、いくつかのシェルをMSFにポップしました。
これまでのところ、このパブリックネットワークのCセグメントは基本的に浸透しており、多数のコアデータベース、スイッチ、およびWebサーバーが削除されています。次のステップは、10個のイントラネットのイントラネット浸透です。
は、特別な手段で水平に10個のセグメントの2つのSSHを倒し、イントラネットの3番目の層は192のセグメントとDocker環境であることがわかりました。
この時点で、10番目のセクションは基本的に侵入されており、次のステップは192のイントラネットに浸透することです。
は、システムにウイルス対策ソフトウェアがあるかどうかを直接起動して確認します。システムにターバルアンチウイルスソフトウェアがあることは一目で明らかです。
ターフにターゲットシステムが存在することを確認した後、私はすぐにオンラインにしようとしました。関連記事の内容:ターフのセキュリティとパワープロモーションをバイパスする実用的なケースを覚えておいてください
オフトピック:ここでテストするときに小さなピットがあります。ツールの問題であるように感じます。多数のエコーされたデータパケットを実行すると、ツールは立ち往生します。ツールを再起動して、コマンドを再度実行する必要があります。
は直接起動し、最初にVPSで一時的なPython Webを起動します。コマンドは次のとおりです。
その後、ローカルでテストして、ダウンロードできるかどうかを確認します。わかりました、問題ありません!
これで、ツール内のターゲットシステムで直接実行され、現在のパスの下に正常に着陸しました。
dirコマンドを実行して、現在のディレクトリに正常にダウンロードされているかどうかを確認します
ファイルを実行した後、オンラインになります
システムバージョンを表示します
それはより高いバージョンであるため、プレーンテキスト情報を取得することはできません
これから、現在のマシンがロック画面にある必要があると判断することができます。マシンにはターコイズがあるため、ユーザーをユーザーに追加するにはターコイズバイパスも必要です。私はその方法をリリースしません(私を許してください、マスター)
ユーザーが参加した後、彼はリモートデスクトップに接続できます
その後、入った後、データベース情報を使用して構成ファイルにめくりました
mysql接続
を使用します
を使用します
を入力することがわかります。
2。現在のメモリ画像レジストリでユーザー名を表示します
3。 Hashdumpコマンドを使用して、Sam Hash Valueを取得します
4。 lasdumpコマンドを使用して、パスワードを表示しますテキストをクリアします
5.Viewネットワーク接続ステータス情報
6。現在のシステムホスト名を確認してください
キー名を表示します
volatile.exe -f worldskills3.vmem --profile=win7sp1x64-o0xffffffff8a000024010printkey-k'controlset001 '
volatile.exe -f worldskills3.vmem -profile=win7sp1x64-o0xfffffffff8a002401010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101001010100101010010101001010101010101010100101010010101
Volatile.exe -f worldskills3.vmem -profile=win7sp1x64 -o0xffffffffff8a000024010 printkey -k 'controlset001 \ control \ computername' '
Volatile.exe -f worldskills3.vmem -profile=win7sp1x64 -o0xfffffffff8a000024010 printkey -k 'controlsset001 \ control \ computername \ computername' '
は、Hivedumpを使用して対応するキー名を直接照会することもできますが、照会するのに多くの時間がかかります。
9。メモリファイルからシステムに移植された異常なプログラムのトレースを見つけます。
10。親と子のプロセスを表示します
11。プログラムバージョン情報を表示します
また、子どものプロセスに関する情報をさらに見つけることができます
14。 CMD履歴コマンドレコードを表示します
16.Scanメモリシステム内のすべてのファイルのリスト
Linuxシステムでは、FilescanコマンドパラメーターとGERPコマンドを使用してキーワードを検索できます。
写真やテキストを検索します
export flag.txtファイル
Dumpによってリリースされたプロセスファイルは、最もemollemostを使用して内部のファイルを分離することをお勧めします。
を追加しました
グループメッセージを送信しても大丈夫ですが、誰もが個人的にチャットを始めました。今、犯罪者は非常にramp延しているので、彼らは甘やかされることができます。 JDカードを最初に置き、フロントデスクをギャンブルフォーラムにしましょう。
ランダムログイン、背景が発表され、WebサイトはPHPからのもので、共通のパスワードを数回試しました。管理者が存在し、パスワードが間違っています。
Yunxiに置いて見てみましょう。
ドメイン名にアクセスするのは非常に硬いです。
もう一度ポートを見てみましょう。 3306が開いており、ホストはWindowsからのものです。
コレクションが完了した後、フレームワークはスキャンされず、ほとんど進歩はありませんでした。唯一のブレークスルーポイントは、背景とポートでした。
バックグラウンドにログインする3306メンタリティで試してみてください。予想外のことは何も起こりません。
Top100バックエンドブラストは、出てきたが失敗しました。あまり希望がありません。 JSを探していると、パスワード、敏感なパス、特別なインターフェイスなどがあるかもしれませんが、それは本当にきれいです、多分私はそれを注意深く見ないでしょう。
バックエンドフォーラムの記事管理事務所をアップロードして、編集者と彼の目がすぐに照らされました。
単一および複数の写真をアップロードしてみることができます。
ひび割れ、ホワイトリストの制限。
さまざまな切り捨てとバイパスが失敗しました。
エディターを確認し、JSファイルを検索し、Wangeditorエディターであることを確認してください。
オンラインで検索したところ、この編集者には抜け穴がないように思われ、私のアイデアが行われていることがわかりました〜
ターニングポイントが表示され、検索を続けます。注文の詳細が見つかった場合は、注文画像をダウンロードすることもできます。
ダウンロードリンクからWebサイトは取得されます。 wwwrootはWebサイトのルートディレクトリであると推測されます。ファイルのダウンロードはありますか?
Nice、Hu Hansanがついに引き渡そうとしています。
コンフィギュレーションファイルを引き続き探し続けます。通常、index.phpはデータベース構成ファイルを導入します。
config.phpを構築および表示するために。
アカウントを取得して接続しようとします。許可がないか、失敗に終わることを促します。ファイアウォールがあるか、データベースのホスト値がローカルでのみアクセスするように設定されていると推測されます。
Wang Tefa! HTMLファイルはPHPファイルとして実行できます。戻ってファイルをアップロードして、接尾辞を変更してアップロードします。両方のアップロードポイントは〜のアップロードに失敗しました
ファイル名のアップロード、応答、アップロードパスへの返却を変更します。
リンクのダウンロードを作成し、ファイルのダウンロードが成功し、存在することが証明されています。
スプライシングアクセス、正常に解析されます。
興奮し、震えている手、成功。
SUHAは、権利の引き上げを試み、パッチのステータスを確認しました。多くのアップデートがありましたが、ネットを逃した魚が常にいました。
ツールを使用し、パッチなしで直接検索、Exp攻撃、電源が正常にアップグレードされ、管理者の許可が得られます。
は、シェルをリバウンドし続けています。結局のところ、端子を使用するのは不快なので、MSFを使用してここでシェルをリバウンドします。
ほうれん草フォーラムの浸透テストエクスペリエンスを記録します。2。ポート8000でPythonサーバーをローカルに開きます。
ほうれん草フォーラムの浸透テストエクスペリエンスを記録します。
端子ターゲットマシンのexeファイルをダウンロードします。
ほうれん草フォーラムの浸透テストエクスペリエンスを記録します。
5。 exeファイルを実行し、シェルを正常に受信します。
セッションを取得したときに軽視しないでください。 MSFにはMimikatzモジュールが付属しています。 MSFのMimikatzモジュールは、32ビットシステムと64ビットシステムの両方をサポートしていますが、このモジュールはデフォルトで32ビットシステムをロードします。したがって、ターゲットホストが64ビットシステムである場合、モジュールを直接ロードすると、多くの機能が使用できなくなります。したがって、64ビットシステムでは、まずシステムプロセスリストを表示し、次にMeterPreterプロセスを64ビットプログラムプロセスに移行してMimikatzをロードし、システムのプレーンテキストを表示する必要があります。これにより、セッションが中断されないようになります。
MeterPreterプロセスを408プロセスに移行します:移行408
が正常に移行され、すべてがそこにありましたが、パスワードはありませんでした。また、MSFのMimikatzモジュールを使用して、パスワードを取得します。
Mimikatz_Commandモジュールの使用は、ここにリストされています:
しかし、これにより、パスワードのハッシュ値がキャッチされます。 Plantextパスワードを直接表示し、Sekurlsaモジュールの下のSearchPassWords関数を使用し、次のコマンドを実行し、パスワードを正常にクロールします。
最後の3389接続が成功し、作業が完了しました。
は、鉄の頭の子供であることが良いことを証明してください。
を見つけました
で検索してください
を取得します
に変換する必要がありました。
で検索します
を意味します
を正常に使用しました
次に、パスワードを変更してログインします。
が正常に起動されました
![图片[1]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/5z4sqaffikz1885.png)
SFZはここにアップロードできますが、それはファイルアップロードの脆弱性があるかもしれないという意味ではありませんか?情報を収集するとき、私はこのサーバーがIIS7.5であることを知りました
![图片[2]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/ai2xekucaoy1886.png)
少し前に、脆弱性を確認して分析するだけなので、脆弱性が存在するかどうかを試してみましょう。
![图片[3]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/ufrnmhszho51887.png)
アップロードのためにPHPの馬を画像馬にしました
![图片[4]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/vwdspwt111e1888.png)
応答結果によれば、アップロードは成功し、アドレスが返されました。次に、訪問しましょう
![图片[5]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/k55hzmu3tst1889.png)
解析が実際に成功したことがわかりますが、残念ながら正常に使用することはできません。そのため、アップロードするためにマレーシアのPHPマレーシアの接尾辞をJPGに直接変更します
![图片[6]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/ra0uh5pz2l41890.png)
再び訪問したとき、私はそれが正常に使用できることを発見しました。私が入ったとき、私は多くの個人情報と人々のスクリーンショットを転送することがあるのを見ました。ほうれん草は人々に害を及ぼすと言わざるを得ません。
![图片[7]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/io1f1sarrsn1891.png)
ウェブシェルがあるので、最初に現在の権限を見てみましょう。
![图片[8]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/rymjdbgr4k51892.png)
対処するのは本当に難しく、私は再び低許容に遭遇しました。最初に権利を引き上げることを検討しないでください。また、利用可能な他の機密文書があるかどうかを確認し続けてください。さまざまなディレクトリで長い間検索した後、最終的にデータベースの構成ファイルを見つけました。これは次のように表示されます。
![图片[9]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/vot0ri2h1531893.png)
データベースに接続して、見てください
![图片[10]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/tmlrkza4n5j1894.png)
は、疑わしい管理者のアカウントとパスワードを見つけました。私はこれを試してみましたが、それを解読することができました。私は幸運でした。
![图片[11]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/pfd3wyd4okk1895.png)
次に、背景にログインして見てみましょう
![图片[12]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/x0qw0fvw5yu1896.png)
![图片[13]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/hv4qebybwl21897.png)
結果は非常に失望しました。私はもともと、さまざまなユーザー情報と資本フローがあると思っていました。この点に達したので、続行することしかできません。電源を上げる方法を考えながら、ほうれん草のステーションは実際には誤った評判ではないとため息をつきました。フォルダーの下にサーバーの情報ファイルが見つかりました。
![图片[14]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/2ihgdxotkqc1898.png)
ファイル名——「サーバー情報」に注意してください。しかし、私は本当に眠く、誰かが私に枕をくれました。このことから、このサイトはパゴダの上に構築され、アカウントとパスワードを提供していることを知っています。それはとても思慮深いです。ログインしてチェックしてみてください
![图片[15]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/4hlviy32pq51899.png)
![图片[16]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/1ahzhikqlkg1900.png)
写真に示されているように、いくつかのデータベースは多くの罪深いお金取引を記録しています。詳細にリリースしません。
![图片[17]-渗透进入菠菜服务器(实战)-可能资源网](https://hacker.bz/t/tu/cgzw2r435ap1901.png)
投げて試行することで、このサーバーの下にほうれん草に関する3つのサイトがあり、機能がまだ異なることがわかりました。 1つはメインサイト、1つはイベントの処理、もう1つはRed Envelope Grabです。それは本当にカラフルです。