视频教程在我主页简介或专栏里
目录:
资产收集
前期打点
突破
完结
又是年底护网季,地市护网有玄机,一路磕磕又绊绊,终是不负领导盼。
扯远了-_-!!,年底来了一个地市级护网,开头挺顺利的,口子很简单找到了,归属也很好定位,但是中间突破的过程就是困难重重。
因为是小地市,加上主办方年底也想出点成绩,所以对目标没太多限制,是这个地市的企业基本都算,备案能归到就行。
资产收集
那就简单多了,直接quake:city:”城市名” and is_domain:”true”,大概好几千,数量还行,但是时间不多,总共打三天
前期打点
先是找到了个某个企业的企业微信管理系统(伏笔),经典弱口令admin/123456进入
因为是护网,也就没开被动扫描慢慢找注入点了,直接奔着上传功能就去了,在素材管理处找到了上传点
经典的前端校验,所以直接抓到上传包改上传包的文件名就完事了
甚至返回包贴心的给了链接(谢谢啊)
到这觉得这不结束了吗,已经想象到传里fscan跑内网,翻翻配置文件写写报告不就可以交了吗?但是很明显我想多了,先是传普通马直接一剪梅的朋友-落地没,然后没办法传了个免杀的大马进去,执行了下tasklist发现有def,然后又whoami看了眼权限(伏笔回收)
当时我的表情一定很精彩,这权限真的头一次见 然后这里我的思路进入了误区,就一直在想怎么把def干掉,之前有用过一些一键击溃def的工具 找了之前用过的,又找了一些新的,大概是因为权限太低或者太久远的原因,都失败了,都没能成功把def干掉 然后同事说里面有向日葵,嗯?有这好事?当即用上我写的读内存的工具读id和密码,失败,然后找了其他大佬的,依旧失败,猜测还是权限问题。然后又传了gotohttp进去,好消息,连接上了,坏消息,黑屏,啥也干不了(https://gotohttp.com/goto.12x)
突破
正苦于无法突破,手里又没有好的免杀马的时候,突然想到,既然他只有def,那理论上Unicode混淆应该能过,所谓Unicode混淆,就是把木马中某些字段用Unicode编码替换掉,在替换了两三个单词之后,果然成功连上了哥斯拉
本来想着事情应该会简单些了,直接用哥斯拉插件提权就是了,没想到烂土豆用不了,执行失败,传里的fscan莫名其妙的执行不了,读向日葵的工具也是用不了,本来想着搭个代理挂着代理扫,然而甚至连frp和neo都搭不起来,我感觉我要发飙了,真是一步一个坎。既然不让我方便,那我就只能暴力一点了,3389开了吗?开了!直接petitpotam提权到系统权限创建Administer组用户 创建用户:net user 用户名 密码 /add 加入组:net localgroup Administrators /add 用户名
然而到这一步,在frp和neo都用不了的情况下,那只能请出代理新秀,suo5!然而也用不了 再请新秀!grs!然而这次,这次可以用了。grs用起来比较复杂
grs简单使用方法使用时首先需要生成配置、客户端、用户端:grss gen www.qq.com:443 127.0.0.1:443参数说明:www.qq.com:443 是被模拟的目标127.0.0.1:443 是服务器监听地址,这里要填写公网IP,端口最好和模拟目标一致若SNIAddr或ServerAddr不指定,则会尝试加载已有配置文件,默认生成3个不同id文件名的客户端,可通过-c参数指定命令生成后会有三种软件grss(Golang Reverse SOCKS5 Server) 服务端,需要有公网IP的机器上grsc(Golang Reverse SOCKS5 Client) 客户端,需要运行于想要穿透的内网中机器上grsu(Golang Reverse SOCKS5 User) 用户端,需要运行于用户机器上,提供socks5服务简单来说就是grss在vps里,grsc传到靶机里,grsu在本地执行启动服务端:grss serv启动客户端:grscX启动用户端:grsu -id 0 这里id参数对应了grsc的id,不同id会连接不同的grsc,默认生成三个
完结
至此,胜利的方程式已经集齐了!代理可以用了,用户已经创建好了,def,咱俩该算账了!rdp挂上代理直接连上,桌面还看到了向日葵,还是全用户安装的,不过现在已经不重要了,直接把def关掉!
传入fscan,上线cs!
几台17010,怕打蓝屏就没打了,还有一部数据库,不客气,连上直接上线cs
又在数据库这台里面的浏览器中发现了OA系统的地址和账户口令,还是管理员的
剩下的就是一些rdp和ftp的弱口令了,截图我就不放了
![ubuntu 使用samba与windows共享文件[注意权限配置]](https://i-blog.csdnimg.cn/direct/6f88f337248246e995e9c37a84288d03.png)
