一、前言

​ 记录一此某次护网行动中的打点过程，利用组合漏洞直到获取系统权限，为之后的内网漫游做下铺垫。整条渗透链路为用户名遍历->验证码前端返回->任意用户名修改->管理员后台任意文件上传->ms1701。

二、突破过程

​ 通过信息收集发现某个用户登陆系统，在忘记密码处存在用户名遍历漏洞：

利用PKAV可遍历出如下用户名，用户名存在服务端返回相应手机号如下所示：

点击下一步修改密码发现，服务端将短信验证码发送至前端如下所示：

将相应验证码填入即可修改相应密码如下所示：

修改密码后登陆：

登陆后没发现上传点等功能，猜想可能是因为权限太低导致的。于是猜测管理员入口是否可能和用户是在同一入口，也可以重置相应的密码但试了一波常规的admin,root,manage都没成功。
之后在在消息通知处发现相应的网站管理员用户名，如下所示：

结合任意密码修改漏洞可成功修改相应的管理员账号。通过前面获取到的管理员账号登录进去发现存在文件上传点，如下所示：

上传文件抓包发现相应的文件上传路径，如下所示：

冰蝎连接连接相应的木马并执行相应的系统命令如下所示为一个低权限用户：

尝试提权使用了各种方式都没用成功，遂打算先将其CS上线代理出流量利用ms17010扫一波，看看运气咋样。毕竟有个高权限用户在内网才能游的更自在。
运气不错，扫到几台如下所示：

于是就可以开始游起来了，之后游内网的内容就不写了敏感信息有点多打码麻烦。整个过程还是比较简单，重点还是信息收集到位，打点就容易多了。