本文首发自土司论坛

前言

起因,没有起因,我就是单纯的想日这个网站。

信息收集

目标:

http://www.xxx.net/

ASP+IIS7.5+Win2008

目标站没有挖到可getshell的漏洞,扫描端口,发现一些服务,并且发现其他端口开放的web服务。

http://ip:8099

http://ip:8088

http://ip:8090

http://ip:9001

tomcat弱口令尝试了几个失败就放弃了,9001端口的后台弱口令注入都不存在,8088端口挖到一处越权,但是没什么可以利用的,8099端口存在注入,root权限。都懂了吧?

由于每个端口的环境都不太一样,所以猜测内网的环境大概是这样的。

凑活看一下 。。。 其实就是端口映射,反向代理这种。

Getshell

注入具有文件的读写权限,访问不存在的文件,服务器报错出网站绝对路径。运气爆棚。

into outfile直接getshell。

翻了一下果然目标网站不在这台服务器上,思路是提权这台然后内网再打目标机器。

systeminfo发现可以用烂土豆ms16075去提,但是msf的反弹会话.exe传上去死活执行不了,弹不回meterpreter。查看进程发现有一个qq管家,刚接触内网又不懂免杀,到这里就先放下了。

回头看看目标网站,表面上看着安全做的挺不错的,所以就又收集了一波信息,发现是某建站公司的产品。然后用建站公司名字+ _admin即xx_admin发现后台。

弱口令 admin admin888 进入, 我特么。。截断上传一条龙。

提权遇到同样的问题,弹不回shell。

提权

不提权肯定是不甘心的,第二天把shell发给了初遇@Y4er。叫他过来我们两个菜逼一起研究。后来发现了玄学,利用论坛一个免杀的potato.exe把服务器打卡住了,结果再反弹meterpreter的时候竟然神奇的弹回来了….

然后用论坛@skyer师傅的webshell版Juicy Potato提权工具,提权成功。

找到远程端口:

tasklist /svc找到TermService对应的id,netstat /ano找到id对应的端口。

portfwd add -l 8888 -r 127.0.0.1 -p 12345

目标机器的截图找不到了,忘记保存了,用内网的另外一台充数好了。。。

真正的快乐

晚上直接cs弹到团队服务器上,然后师傅们带我打了一波内网是真的爽。

ms17010+读hash爆破 内网大杀器啊,下线睡觉。

总结

最后,感谢@Y4er@黑夜带我这个弟弟玩耍。我真的喜欢chabug一起日站交流的氛围,期待下一次的内网漫游,祝chabug的各位表哥技术越来越牛逼,溜了~