原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
5、財務系統
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
5、財務系統
6、資產管理系統
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
5、財務系統
6、資產管理系統
7、抓取已經獲取服務器的賬號密碼,收集服務器的數據庫相關信息等繼續進行橫向滲透測試。
至此,本篇完。
聲明:作者初衷用於分享與普及網絡知識,若讀者因此作出任何危害網絡安全行為後果自負,與合天智匯及原作者無關。
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
5、財務系統
6、資產管理系統
7、抓取已經獲取服務器的賬號密碼,收集服務器的數據庫相關信息等繼續進行橫向滲透測試。
至此,本篇完。
聲明:作者初衷用於分享與普及網絡知識,若讀者因此作出任何危害網絡安全行為後果自負,與合天智匯及原作者無關。
實操推薦
Sqlmap教程:sqlmap是一款開源、功能強大的自動化SQL注入工具,支持多種數據庫和多種注入方式
點擊“http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015011916013600001”,可預覽學習(PC端操作最佳喲)
原創:h0x合天智匯
原創投稿活動:https://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ
前言
上次記錄過一篇提權到內網初探,但感覺收尾有些倉促,最近剛好遇到了很好的實戰過程,故本篇為過程記錄復現,著重圍繞著目標進行測試。希望看完本篇能給您帶來一些思路或啟發。
假設本次測試前提為:僅知道劉書源為某學校的學生,目的是儘可能的收集劉書源的信息,以此進行展開。
PS:截至投稿前,已將漏洞提交eduSRC平臺並驗證已完成修復。
內網資產嗅探
首先通過谷歌語法搜索該學校的學號。這是個眾人皆知的小技巧,通過收集的學號,可以生成學號字典去爆破弱口令用戶。如下獲得了該校的學號格式。
通過以下公告通知,獲取到默認的密碼為身份證號的某段構成,故此處獲得了學號之後,可以考慮如何獲取學號對應的身份證號碼。
弱口令爆破
通過上述獲取到的學號生成字典,找到一處無驗證碼的學生系統進行爆破。
如上成功爆破出尾數50的學號存在弱口令,通過弱口令可以登錄該系統,登錄後可以獲取到該學生的身份證號碼。此時,我們掌握了一個學號、姓名及身份證號,如果時間足夠可以多去爆破幾個。
但此時並不知道劉書源的學號,若能得到劉書源的學號應能獲取更多的信息。
通過對該學校網站繼續瀏覽,發現網站存在VPN系統,此處為突破口。
內網資產嗅探
通過上述獲取到的學號+身份證後6位成功登錄VPN系統,若登錄不成功,則可以多爆破幾個學號,嘗試通過他們的身份證號進行登錄,總有學生沒有改默認密碼的。
如上成功登錄VPN系統,進入學校內網。通過對內網的資產進行了大概的瀏覽及信息收集,發現存在以下IP段:
192.168.25x.0
192.168.4.0
192.168.5.0
掃描該網段開放WEB服務的服務器,同時後臺掃描SQLServer及MySQL的弱口令。如下,內網還是存在很多的網站服務器。
通過對幾個網段的Web系統的逐個瀏覽測試,發現主要存在以下漏洞:
1、在線考試管理系統存在SQL注入
此係統最有可能存在劉書源的學號信息,故對此係統進行檢測。
抓包使用Sqlmap進行測試,一片紅證明存在安全防護軟件。
2、資產管理系統存在SQL注入
用戶名處加單引號報錯
抓包使用Sqlmap進行測試
同樣抓包使用Sqlmap進行測試,但此處未被攔截。
分析後發現該站點和上面站點不是一個網段,考試管理系統的是192.168.25x.0網段,而當前系統是192.168.4.0網段,可能是WAF的部署位置缺陷導致未防護到192.168.4.0網段。推測其大概網絡拓撲圖如下:
雖然當前注入點為SA權限,但不支持os-shell,也未找到後臺管理頁面,且該系統很大可能不存在我們需要的信息。此處暫且先放一邊。
3、後臺弱口令
發現一系統後臺弱口令,成功登錄後,並未有可以利用的功能點,且該站點有WAF進行防護。
此時服務掃描那一塊已經掃描完成,掃到存在sa弱口令的服務。
4、SA弱口令
如下,發現兩臺存在弱口令的服務器,且為192.168.25x.0網段。可以通過獲取該服務器權限建立代理,然後去跑同網段考試系統的注入點,即可繞過WAF的防護,進而可獲取數據庫的信息。
通過SQL工具連接後可以執行cmd,且當前權限為system權限。
通過以下命令查找RDP服務的端口號
tasklist/svc | find "TermService"
netstat-nao | find "3220"
發現當前RDP服務的端口號為8080
直接遠程內網IP:8080,提示訪問拒絕,表示VPN並未對外開放8080端口的訪問。本想通過reGeorg腳本建立代理,但是80端口訪問為報錯,測試默認網站路徑寫入文件也404。測試本服務器為純內網環境,不可訪問互聯網。
端口複用及Socks代理
通過對當前環境的分析,目前已經獲取了25x的服務器的system權限cmd,想通過這臺服務器建立代理,及登錄服務器,在服務器上進行同網段的掃描探測,以此來繞過安全設備的防護。
1、端口複用
但當前是通過VPN連接到內網,且VPN僅對外開放了某些特定端口。此時我首先想到的是利用端口複用,正好當前的80端口的網站為報錯頁面,於是上傳了利用工具。
在目標服務器上執行以下兩條命令,此時相當於把本地的8080端口映射到80端口上。
c:\\wmpub\\drivers.exe
c:\\wmpub\\Changeport.exelocalhost 8080
執行上述兩條命令後,在本地nc目標IP80
發送chkroot2007
即開啟端口複用,80端口的web服務會無法訪問。
此時遠程目標IP:80端口,即可訪問服務器RDP
如上,成功登錄該服務器,通過該服務器即可當跳板登錄內網更多的服務器,且可以對內網進行掃描。
但在測試過程中發現端口複用並不穩定,不時就會斷開,有可能是安全設備防護的原因。於是對目標IP進行了全端口掃描,看看開放了哪些端口,掃描後發現被封了訪問20多分鐘。待解封后對端口逐個訪問測試,發現存在9527存在web服務。
此時需要找網站的物理路徑寫shell,以下兩種方式即可:
dirf:\\2013103011494215.jpg /s
typeC:\\WINDOWS\\system32\\inetsrv\\MetaBase.xml | findstr "Path"
找到路徑後寫入菜刀一句話shell
如上連接被重置證明存在安全設備,直接上傳reGeorg代理腳本訪問也是連接被重置。此處用到神器冰蠍,上傳後成功連接。
2、開始Socks代理
開啟Socks代理,sqlmap掛上代理進行考試系統注入測試
sqlmap.py--proxy=socks5://192.168.0.110:10086
如上沒有報一片紅,當前注入點權限為root,繞過了安全設備的防護
學生信息獲取
通過對數據庫的瀏覽,發現存在member表,且數量為近5w,可以估計此約為全校學生信息,包含學號,姓名,身份證號等。
通過以下SQL語句即可獲取劉書源的信息:
selectusername,name,idcard from user_data where name='劉書源';
如上,即可獲取劉書源的學號及身份證號碼,通過身份證號碼後六位即可登錄大部分系統。
如上達成此次測試的目的,成功獲取劉書源的相關信息。
總結
本文主要通過信息收集加弱口令掃描,到最後獲取信息,並沒有太多的亮點,更多的是測試過程中遇到問題的解決思路的分享。若後續要繼續測試,可以圍繞以下的系統作為突破點。
1、通過爆破教師弱口令,登錄門戶系統進行測試。
2、OA系統
3、教學平臺
4、科研系統
5、財務系統
6、資產管理系統
7、抓取已經獲取服務器的賬號密碼,收集服務器的數據庫相關信息等繼續進行橫向滲透測試。
至此,本篇完。
聲明:作者初衷用於分享與普及網絡知識,若讀者因此作出任何危害網絡安全行為後果自負,與合天智匯及原作者無關。
實操推薦
Sqlmap教程:sqlmap是一款開源、功能強大的自動化SQL注入工具,支持多種數據庫和多種注入方式
點擊“http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015011916013600001”,可預覽學習(PC端操作最佳喲)
聲明:筆者初衷用於分享與普及網絡知識,若讀者因此作出任何危害網絡安全行為後果自負,與合天智匯及原作者無關,本文為合天原創,如需轉載,請註明出處!