WEB篇:

目标www.S3cPu1se.com

环境:win32+apache

IP:1.2.3.4

laptop

I)轻松的开始

1、跟往常不一样,今天我拿到的目标以后前期没做什么调研,直接开干了,没费什么劲找到了一个任意文件读取,当然先读一些有用的东西了,比如配置文件,等可能的有用信息文件和代码。

本来想通过数据库去写shell,尝试连接1433,失败

pentest_1

 

II)转战注入

WEB比较简单粗暴,get注入是没有了,把希望寄托在POST上面了,找了一个登录口,先手工测试了下,发现如果提交是单引号,被直接输出成右斜杠加单引号了,

 

pentest_2

尝试加双引号,结果是报错了,经过各种尝试均未成功,好吧!拿出神器,丢SQLMAP,也宣告失败

 

 

III)轻松的突破口

找注入就像找女朋友,一个不合适,换一个,总有那么一个合适的,抱着这个心态,找了下注册,这么多框框框,我还就不信你全部都过滤到位了,经过体力活的一串测试,终于找到一个,权限还特么的大,

 

pentest_3

 

 

 

IV)情况有变

经过漫长的等待终于得到了管理员的账号and密码了,高高兴兴的去解密,卧槽,居然解不开,好吧!!!不要紧的,反正注入的权限很大,写shell不就得了,

经过测试,执行命令、写shell均宣告失败,

没事。。咱还有思路,update管理员密码不就得了,

在update管理员密码之前,当然是先要知道是如何加密的了,

pentest_4

 

读取了管理员的文件,知道了原来密码的加密方式后,果断的去自己随便写了一个密码,用了管理员的盐值,和我的密码一起加密,

pentest_5

果断update起来~1

 

 

V)蛋疼的转变

拿着自己的密码高高兴兴的去登录后台,可是特么的死都等不上去,纠结了,是我的密码不对,还是姿势有问题,经过一番纠结,才发现特么的后台是假的,

pentest_6

 

经过一份时间的苦找,终于找到了真后台,麻辣隔壁的管理员,后台地址是域名,拿shell很简单,后台直接传了。

pentest_7

 

内网篇

1、内网权限信息概述

提权就不用了,WIN32+Apache默认的就是system权限,比较简单,直接种马和抓hash,结果发现死活也传不上去,果断的转发出来,登录上去才发现原来是麦咖啡它老人家在搞乱,果断的把我的目录添加为例外,抓hash,同时看了下系统信息,跪了,工作组

pentest_8

pentest_9

 

 

2、无奈运气好杀进域

拿到一台以后由于是在工作组 没在域里面 所以就抓了管理员账号密码

通过抓到管理员密码进行体力活,简单识别其他段,去尝试登录其他段的服务器

经过漫长的ipc测试 终于登录一台域中的服务器 果断抓取域用户密码 同时抓到了某个域管

看了下域里面的情况,日了狗了,这么多,

pentest_10

 

查看了下域情况,发现居然还有另外一个域 然后又XXOO到另一个域 后来继续漫游了会儿 定位到内网所有重要的机器 获取了拓扑和内网结构以及业务流。

不搞清所有网络结构和业务格局,不拿到域控权限的内网漫游都是耍流氓~

pentest_11

 

总结:

PS:由于比较简单,不希望勿喷,本人技术就这样

  1. 运气+RP爆发,就没遇到什么困难就搞定了,除了在后台哪里麻烦些
  2. 描述不清楚的地方见谅,因为我不太善于表达。

【本文由安全脉搏宝宝原创  转载请注明来自安全脉搏  分享技术 悦享品质】

 

 

 

 

 

源链接

Hacking more

...