首页 >> 网络安全 >>渗透测试 >> 内网漫游-模拟真实环境
详细内容

内网漫游-模拟真实环境

时间:2020-02-20     作者:Shadow-G【转载】   来自:博客园

声明:本篇文章测试网络环境为内网搭建靶场测试

先了解一下网络结构图(结构图为测试后绘制)

1.png

关于10段的FTP因时间关系没有继续进行探测

信息收集:

通过NMAP进行端口扫描 发现网站开放了80,443,700,8080端口

80端口下存在web服务 :Foosun DotNetCMS 2.0  网站为IIS搭建的aspx站  服务器操作系统为win2008

8080端口下存在路由登录界面

2.png

渗透过程:

通过网上查找Foosun DotNetCMS 2.0发现该CMS存在SQL注入 后台登录绕过


SQL注入:

通过查询发现该CMS存在sql注入 注入点为:

www.test.com/user/City_ajax.aspx?Cityld=1

3.png

使用sqlmap对注入点进行测试,可以跑处后台用户名及密码,但密码较复杂解不开

尝试使用sqlmap查询权限,发现权限较高,并且可以反弹shell

sqlmap查看权限:sqlmap.py -u 网址 --privileges 

sqlmap反弹shell:sqlmap.py -u 网址 --os-shell

使用shell 查询一下权限和IP

发现权限为系统权限可以进行写入操作 

发现IP为192.168.1.123 说明该网站是搭建在192.168.1.123上,在通过端口转发 转到了192.168.31.55上

发现有写入权限  进行写入一句话木马,但是写入一句话木马需要知道服务器的绝对路径

网站为IIS搭建,我们可以尝试猜一下绝对路径

C:\inetpub\wwwroot\

D:\inetpub\wwwroot\

发现可以写入的绝对路径为C:\inetpub\wwwroot\   

成功写入asp的一句话

6.png

在写aspx的一句话时发现<无法识别,那就需要转译可以使用^ (在一句话里的所有<都需要转译)

7.png

使用菜刀或蚁剑可以成功访问 我们就成功可以读取192.168.1.123的文件了

8.png

后台登录绕过

 通过与sql注入的结合使用可以绕过后台登录

工具:EditThisCookie   python Crypto模块

漏洞具体产生原因可以百度一下,这里只介绍测试过程

通过注入可以获取UserNumber:

http://192.168.31.55/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin

9.png

将得到的UserNumber进行加密,得到加密串,写入cookie就可以成功登陆。

但是cookie需要加密,使用下面的脚本进行加密

使用exp代码如下:

链接:https://pan.baidu.com/s/1Y6nmPQ7b1HK-WKhM8ooORQ        提取码:bfv9

把exp代码复制,在桌面新建一个Foosun_exp.py脚本文件并把代码粘贴

在cmd下使用python运行该文件,如果无法运行说明python没有安装Crypto模块

使用pip 进行安装Crypto模块

安装命令: pip install pycryptodome

安装成功后在运行Foosun_exp.py就可以获取到加密Cookie

 用EditThisCookie写入浏览器Cookie,再访问管理主页面链接即可。

10.png

如果pip无法使用的话 有2个原因

1.没有设置环境变量 在环境变量的path中加入:G:\Python\Scripts

2.pip版本低 升级pip

11.png

这样我们就成功登录后台,进入后台后通过修改上传参数,使aspx的文件可以上传,随便找个上传点进行上传一句话 之后使用菜刀连接

12.png

到这里我们已经拿到了IP为192.168.1.123内网服务器,要想进行内网漫游,得获取路由的权限

拿到192.168.1.123服务器后 要进行内网漫游 需要挂代理

当我们使用菜刀进行信息收集时,发现权限不够,这里就需要提权了

同时发现192.168.1.123开放了3389,445端口,我们可以使用溢出进行提权

这里对挂代理 提权及445端口的入侵就不过多描述了,可以看我之前的文章

这里可以使用之前的注入点进行添加账户,并加入管理员组

13.png

14.png

(以下操作都为代理后的操作)

使用代理打开远程桌面连接 连接192.168.1.123 进行信息收集

proxychains rdesktop IP 

15.png

使用自己新建的用户名登录,发现在Administrator的桌面下有个txt 文件 打开发现一个mail的用户及密码,一个路由的用户及密码

16.png

尝试不挂代理登录发现不允许IP登录,说明路由对登录进行限制

17.png

使用代理登录,成功进入路由界面,但是是普通权限

18.png

通过路由发现内网还有一台IP为172.19.23.123的服务器(192.168.1.25为缓存)

19.png

通过路由发现,内网的IP可以相互访问

使用nmap对172.19.23.123的端口进行扫描

proxychains proxychains nmap -vvv -n -sT -PN ip

20.png

172.19.23.123开放了80,135,139等端口

21.png

使用浏览器对172.19.23.123访问发现web服务

一个邮件的cms U-MAIL 需要登录,使用之前获得的mail的用户及密码成功登录

发现该网站为IIS 7.0搭建,而IIS 7.0存在解析漏洞   在一个文件路径(/xx.jpg)后面加上/.php会将xx.jpg/.php解析为php文件

尝试在网上搜索 发现U-MAIL存在任意文件上传漏洞

22.png

这里登录的账号为:xgk

获取当前登录用户的user_id:3

http://mail.comingchina.com/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk

23.png

 通过上传一个.jpg的文件获取上传后获取"file_id":

24.png

利用解析漏洞上传 ff.jpg 的图片马

25.png

 "file_id":15598087474

26.png

shell地址:

http://172.19.23.123/webmail/client/cache/{user_id}/{file_id}.php

这里是:

http://172.19.23.123/webmail/client/cache/3/15598087474.jpg/.php

成功上传大马,这样我们就拿到了172.19.23.123的服务器

27.png

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录