目标www.S3cPu1se.com
环境:win32+apache
IP:1.2.3.4
I)轻松的开始
1、跟往常不一样,今天我拿到的目标以后前期没做什么调研,直接开干了,没费什么劲找到了一个任意文件读取,当然先读一些有用的东西了,比如配置文件,等可能的有用信息文件和代码。
本来想通过数据库去写shell,尝试连接1433,失败
II)转战注入
WEB比较简单粗暴,get注入是没有了,把希望寄托在POST上面了,找了一个登录口,先手工测试了下,发现如果提交是单引号,被直接输出成右斜杠加单引号了,
尝试加双引号,结果是报错了,经过各种尝试均未成功,好吧!拿出神器,丢SQLMAP,也宣告失败
III)轻松的突破口
找注入就像找女朋友,一个不合适,换一个,总有那么一个合适的,抱着这个心态,找了下注册,这么多框框框,我还就不信你全部都过滤到位了,经过体力活的一串测试,终于找到一个,权限还特么的大,
IV)情况有变
经过漫长的等待终于得到了管理员的账号and密码了,高高兴兴的去解密,卧槽,居然解不开,好吧!!!不要紧的,反正注入的权限很大,写shell不就得了,
经过测试,执行命令、写shell均宣告失败,
没事。。咱还有思路,update管理员密码不就得了,
在update管理员密码之前,当然是先要知道是如何加密的了,
读取了管理员的文件,知道了原来密码的加密方式后,果断的去自己随便写了一个密码,用了管理员的盐值,和我的密码一起加密,
V)蛋疼的转变
拿着自己的密码高高兴兴的去登录后台,可是特么的死都等不上去,纠结了,是我的密码不对,还是姿势有问题,经过一番纠结,才发现特么的后台是假的,
经过一份时间的苦找,终于找到了真后台,麻辣隔壁的管理员,后台地址是域名,拿shell很简单,后台直接传了。
1、内网权限信息概述
提权就不用了,WIN32+Apache默认的就是system权限,比较简单,直接种马和抓hash,结果发现死活也传不上去,果断的转发出来,登录上去才发现原来是麦咖啡它老人家在搞乱,果断的把我的目录添加为例外,抓hash,同时看了下系统信息,跪了,工作组
2、无奈运气好杀进域
拿到一台以后由于是在工作组 没在域里面 所以就抓了管理员账号密码
通过抓到管理员密码进行体力活,简单识别其他段,去尝试登录其他段的服务器
经过漫长的ipc测试 终于登录一台域中的服务器 果断抓取域用户密码 同时抓到了某个域管
看了下域里面的情况,日了狗了,这么多,
查看了下域情况,发现居然还有另外一个域 然后又XXOO到另一个域 后来继续漫游了会儿 定位到内网所有重要的机器 获取了拓扑和内网结构以及业务流。
不搞清所有网络结构和业务格局,不拿到域控权限的内网漫游都是耍流氓~
PS:由于比较简单,不希望勿喷,本人技术就这样
【本文由安全脉搏**原创 转载请注明来自安全脉搏 分享技术 悦享品质】
本文作者:意小周
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/32391.html
这是台湾的吗?我遇到的台湾站都很难getshell。后台太简化了