老大让我搞一个目标oa.xxx.com(非破坏,好像是说要取证。。。反正不是做破坏就对了)

目标是oa.xxx.com。(简单介绍下oa,用的是正方软件,百度了很多相关漏洞之类的,我也看了

大部分说的漏洞都是这里的一些,比如注入上传一类的,还有一个是说xsxjxtdl.aspx这个文件的注入。可惜我这里这个目标都没有。(webservice里面的BMCheckPassword和checkaccount之类的我都测试过了，注入不存在)

所以就内网入手了。

拿shell的过程很简单,弱口令猜后台,改配置文件上传文件类型,cer类型没过滤,轻松get到一个低权限的webshell。

接着,就是收集信息咯.比如ip,用户,系统版本,密码还有各种第三方软件,包括本地的网络连接信息等等(ms15-051获取system权限)

目标内网没有域环境,只有工作组,机器名之类的没有规律,都是默认的貌似。(win-xxxxxxx),有点蛋疼。因为内网里面用的dns是公网dns,所以直接ping oa.xxx.com没有返回内网ip。

情况有点糟糕。但也还好,只是麻烦了点,有个笨方法就是扫描内网ip段的常见web端口,看标题之类的。或者一个个打开判断是否是外网的oa……(方法比较笨,大手们有好方法请指出)

内网ip段也不能瞎扫描,(一个是当前shell在的ip段,其次和当前shell有关联的ip段,网络连接也好,曾经的历史ip也好,或者敏感文件信息里面发现的内网ip也行,不要太盲目)

最后确定oa的内网ip是192.168.0.250

重点来了，oa所在的是0段,我之前搞的shell,包括不断去在内网里面扩展的信息是非0段的,非0段的很多信息在这个oa所在的0段不通用。(毕竟工作组)

0段的web也不少,才疏学浅搞定一个web,然后利用之前密码信息,猜到0段一个ip的3389(是其他段的3389密码,在这通用了),还有一个3389密码是123456。

oa内网情况,开放3389,80,8080。 80是oa，8080是一个asp查询文件,mdb就在data目录,没有后台.(哈哈，不确定啊,反正我没找到,mdb里面是毕业证书……有点low,估计是测试的)

oa的3389我利用ipc猜测过,没猜到.oa的漏洞我试了不少……没搞定.

说下0段搞得唯一一个web,后台难找,后台是后来查看网页源文件找到的……,原本以为这种网站密码比较弱,谁知道随手猜了几个没进去,也不好爆破,毕竟我是regeorg做的socks代理进去的(不要问我为什么不用反向的socks代理,因为没有公网vps)。后来上周五帮一朋友搞定另一个目标的时候,发现那个目标上面的旁站有一套源码和这个一样一样的。感觉后台有问题,然后也就没有从注入入手,然后拿账号密码了，发现一个有用的就是编辑器目录xx_xx_CMS_editor，0段的那个web注入目录编辑器有问题,两个子目录有一个也是坏的,只有一个是好的,账号密码也是写在config.asp文件中的.

编辑器好像是v5.5的,我也忘记我怎么判断了。有两个漏洞，一个是列目录，一个是上传文件(这个漏洞给了很大帮助)。
可能有人说直接添加样式或者修改样式。改下上传后缀就可以了。

他的样式预览是这个锤子模样……怎么上传……

前面提到v5.5的上传文件起到了作用是上传文件的作用

<form action="http://192.168.0.253/xx_xx_editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=qing.asp" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>

忽略那个qing.asp文件夹,在这不管用,貌似是权限问题,根本创建不了目录，值得注意的是&style=popup，这里其实是样式,虽然样式预览不能上传文件,但是这里的表单可以,默认样式肯定不能上传我们想要的文件,改下上传后缀就行了,还是简单的cer后缀get到shell。

这个0段的web,也就是0.253距离我们的oa(0.250),其实很近了,

提权抓密码,一样的套路,但是抓到的密码貌似有问题。

貌似是以前的缓存
系统启动时间:     117 天 5 小时 50 分 39 秒

大概就是这样,用mimikatz抓到的密码ipc本机自己都不行，提示用户名密码错误

0-0对了。0段还拿下了一个web(这台机器抓到的管理员密码还是跨不过去oa),套路比较简单 yyoa, 用友致远a6,详情百度yyoa getshell

//yyoa用友致远a6里面的解密也不是很清楚,所以想解密管理密码之类也没弄成……

想跨过去oa(正方教务)有点难啊感觉

其实,写到这里,我也不知道自己说了点什么。

问俩问题吧。

1. 0.253我抓到的密码应该是缓存吧？ (感觉有点晕啊,上次设置密码时间是12年, 但是systeminfo里面系统运行时间才100多天，而且他机器时间也是正确的。\127.0.0.1 的当前时间是 2016-12-5 2:37）。求个解释啊……

2.wce的使用

wce hash注入的时候,遇到uac,各位大哥是怎么绕过的(私货就算了。。) 我在win 7 下hash注入的时候,注入的凭据删除不了。win2003 没问题。各位大大有没有遇到过这问题？ 求解