據了解,該web服務器(10.1.1.178)上 C:\consle存儲有銀行的關鍵敏感數據。
廢話不多說,既然目標明確了,那就直接上nmap掃一波。結果顯示該Web服務器存在cve-2012-0152(Microsoft Windows Server RDP拒絕服務漏洞 )、cve-2012-0002(Microsoft遠程桌面協議RDP遠程代碼執行),由於內網無法訪問外網,所以也沒有趁手的兵器(EXP)來日它。
既然暫時無法對上述漏洞進行利用,那就訪問一下該Web網站,尋找突破口。不出意料,在該網站找到了一個文件上傳點。翻看頁面源碼,發現該上傳對文件大小以及類型作了限制。
這時候就該放出我們的老朋友Burp了,修改一句話木馬的后綴名成jpg並上傳,然后通過burp抓包,將文件名改成php。
上傳成功,成功訪問一句話。下一步就是拿出菜....
根據提示,我們找到C:\console目錄,卻發現沒有權限訪問。看來只能遠程到Web服務器上查看了。
經過一系列的添加用戶的操作,發現net localgroup administrator zero /add 這一命令無法執行成功。
將zero添加進remote desktop users組后,卻提示zero權限不足。(真是一波三折,😓)
balabala...
在鑽了很久牛角尖之后,我才醒悟過來。為何不看看原有的用戶都在哪些用戶組呢!!
將新建用戶添加進這個用戶組
通過遠程桌面成功登錄Web服務器
成功獲取vpn.txt文本中的user參數
