本文阐述:文章从网站入侵到内网渗透提权,作者给大家带来了一篇精彩的内网渗透文章。读后此文你能清晰的认识到内网入侵的细节技术。
由于平时比较忙,用了很久的VPN肉鸡飞掉了,近来正好有时间于是打开google搜索upfile.asp开始找肉鸡,来了台湾某XX站,,为了不必要的麻烦,我隐藏了敏感内容。直接到传asp提示错误,那么直接传了gif以后,查看上传路径发现自己重命名了,如果没有重命名的话在IIS6下百分之90以上可以拿shell了,除去目录末有执行脚本权限。最后抓包分析改上传路径,最后得到一个shell,图1。具体方法翻翻以前杂志或google找吧,一找一大堆。
执行命令后,发现权限还比较大,能够执行一些简单命令,像net user、ipconfig /all等等。图2。
不过执行添加用户的肯定是不行了,由于支持ASPX我想起来去年暴的本地提权,直接上传Churrasco.exe,我这里命名为c.exe。运行命令为:/c E:\website\wwwroot\xxx\xxup\c.exe "net user nohack nohack /add"。必须有双引号,双引号里是执行的命令。最后成功加了用户,图3。
执行netstat -an发现3389开放,很兴奋的连接上去,却提示“无法连接远程计算机”,不应该呀,明明开着3389呢,google了下.
一般开了3389无法连接的原因有:
1、服务器在内网。用显示的IP来看是用公网IP的,先排除。
2、做了tcp/ip筛选。执行CMD命令:cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip,导出注册表里关于TCP/IP筛选的第一处,这种原因是查看导出的内容EnableSecurityFilters这个字段里dword后面的键值是否为00000000,如果为00000001就说明管理员做了tcp/ip筛选,我们只要把1改成0就行了。还有两个地方要导出,可是我导出来都是这三个word后面的键值都为00000000看来也不是这种原因。
3、做了ip安全策略。执行cmd命令: cmd /c net stop policyagent 将IPSEC Services服务停了它。再连3389。还是连接不上。
4、管理员设置的终端登陆权限只有指定的用户可以。这种原因应该是可以连接、无法登录。也排除。
5、防火墙。在webshell执行了下tasklist,发现有几个进程比较可疑。如almon.exe、alsvc.exe、SAVAdminService.exe等。图4
搜索下几个进程名发现是Sophos Anti-Virus(SAV)英国开发的一个杀毒软件,网上好评还不少。莫非是它搞的鬼,看看能不能直接结束掉,结果试了一下还真能结束掉,不过还是连接不上。原因不明中。因为这个网站禁止中国大陆的IP,这期间我试了反弹CMD,反弹IP是美国的一个肉鸡、端口转发等,最后我直接传了一个反弹的远程木马,在WEBSHELL执行,因为我有管理员的权限执行命令了,不过最后都没有弹出来。连http协议都没弹出来,当真是郁闷。
既然这样还是在webshell里收集一下本机信息吧,执行net view查看有没有其他机器,结果还真有,图5