freeBuf
记一次外网打点提权到内网横向(学习笔记一)
2024-03-31 12:16:59

免责声明

本帖旨在于技术交流,请勿用于任何不当用途!由此而引起的一切不良后果均与本人无关。

一、前言

最近在做一个某市级三甲医院的渗透测试项目,客户要求不提供测试账号以及任何有关单位资产的信息,并且要求做WIFI渗透、小程序、社工以及钓鱼,这条件纯纯不就是红队了么,说白了就是让我们自己去收集内外网资产,最终的要求就是进内网完成横向拿下整个内网。

二、正文

在前期的资产收集中,发现目标只有一个子域名,而且没有什么服务。在对主域名IP端口资产收集中发现了互联网侧的20多个web页面,目标门户网站采取站库分离,只能从互联网侧下手了。

通过互联网的一个事件报告系统发现存在SQL注入,

1711853649_6608d051574bbbdce5931.png!small?1711853650516

原谅我只能打重码了!

前期针对登录框使用admin试了几个密码,都不对,正愁不知道账号以及密码时,发现这个系统web页面有一个使用手册,这不就是突破口吗

1711853782_6608d0d630e9e6e73168a.png!small?1711853783061

打开手册,发现为超级管理员使用手册,心情顿时大好

1711853844_6608d114c5fb00e21c909.png!small?1711853845775


1711854013_6608d1bdd591d25507713.png!small?1711854015010

发现系统默认预置了一个超级管理员admin,直接抓包去爆破密码,密码为弱口令123456,这不就起飞了么,继续去看这个手册,再次从中发现了普通用户的账号命名规则1711854334_6608d2fe2b08db366901f.png!small?1711854335185

可以看到,账号为5位数,直接去编写一个从00000—99999的账号python脚本,将密码固定为弱口令去跑账号:

#python

def generate_number_dictionary():

with open('payload.txt', 'w') as f:

for i in range(100000):

num_str = str(i).zfill(5)

f.write(num_str + '\n')

def main():

print("开始生成账号字典...")

generate_number_dictionary()

print("账号字典已生成并保存到 payload.txt 文件中。")

if __name__ == "__main__":

main()

1711855104_6608d6004a4cf5c7d3ea9.png!small?1711855105908

账号跑完之后,直接抓包扔到intruder模块里去爆破用户名,最终成功找到了2000多个医院职工的账号,将结果导出来

1711855366_6608d70610f6527adb056.png!small?1711855367261

保存好,后面内网渗透还有大用。

进入系统后,在用户查询处发现存在SQL注入,使用时间盲注,成功使页面延时响应

1711855722_6608d86a133ee0a2a6c8e.png!small?1711855723522


1711856161_6608da21c04ae07e613ee.png!small?1711856165643

接着就是直接用sqlmap去跑,然后去执行os-shell命令

1711856726_6608dc569e5a5fa1d85a8.png!small?1711856727851

这时我们可以查询特权名,whoami / priv

1711856910_6608dd0eb222f749631f7.png!small?1711856912367

发现SeImpersonatePrivilege(身份验证后模拟客户端)为开启状态,那么我们就可以使用 PrintSpoofer 提升权限。

首先需要找到网站的根路径,这里我从网上找了一些方法,发现行不通,而且并不是默认的路径,只能通过dir去一层一层的找,一般情况下,会在d盘,大多数是根据系统的小写字母首拼去命名的,花费了10分钟左右,成功找到了根路径。

1711857495_6608df57bfa7e26906ce0.png!small?1711857497525

找到根路径之后,使用echo去将冰蝎马写入,为..text.jsp,使用冰蝎去连接

1711857716_6608e03403bdbea2f03b9.png!small?1711857719830

然后上传提权工具PrintSpoofer.exe

1711857774_6608e06e24c393aef5210.png!small?1711857776067

成功提权为system权限!

结语

后续的进入内网测试过程会在下一篇文章里讲到!

感谢freebuf这个平台,可以让我们有更多的机会一起交流!欢迎各位师傅一起讨论.

本帖旨在于技术交流,请勿用于任何不当用途!由此而引起的一切不良后果均与本人无关!

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录