黑客19 – 引领实战潮流，回归技术本质，以行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载但请注明原文链接，谢谢！

目标:https://..edu.tw/?140.1*.*.66 聪明的你应该知道是哪所学校，但为了满足行业的要求，最好在这里编码，以示对学校的尊重.

一、信息收集

首先，检测它是否存在DNS域传送：

然而，直接进行子域名探测并不幸运，共有327个子域名被扫描，截取部分如下：

利用bugscaner在线CMS批量识别所有子域名，筛选出状态码200的域名148个，初步信息收集告一段落。

二、getshell

疯狂cve测试失败后，我们别无选择，只能逐一选择148个网站fuzz。

经过无数次的失败，终于迎来了可喜的胜利。140.1*.*.*6，在尝试了sql在注入、后台扫描等常规操作失败后，我们发现网站有注册功能：

点击注册，发现个人照片上传功能，突然觉得有戏。

果然，虽然直接上传php文件将被拦截，但修改和上传后缀后，可以直接上传php文件。照片名称被命名为帐户 .php。

拿下shell然后我们先收集简单的信息:

mysql数据库账密：

看起来内核版本可以提权，所以上脏牛脚本，gcc执行结果如下：

显然是失败了，对于linux提权知之甚少，只好选择放弃，大佬们若有更多姿势，请不吝赐教。

管理员都来自ip:140.1*.*9.173，上传我们的tunnel，我们可以开始愉快的内网渗透。

三、内网渗透

我们必须尽可能多地获得内网的权限，最终接近域控。
首先，我们去管理员那里ip段140.1*.*9.0/24试图获得更多的权限，你可能会想为什么不是内网ip，其实上湾湾的教育网大部分都是外网当内网用的，习惯就好。

利用nmap扫描管理员的网段MS17010漏洞失败，发现管理员机器没有打开445和3389端口，猜测可能是个人机器。因此，改变主意，继续直接从shell网段开搞。
依旧是利用nmap扫描MS17010，幸运的是，我终于找到了可用的机器。

直接使用工具：

这里有三个模块可以使用romance，开始，成功写入后门：

服务器监控端口，将shell反弹回来，成功执行命令:

这里有三个模块可以使用romance，开始，成功写入后门：

不幸的是，这台机器不在域内，抓住密码就溜走了。获取管理用户hash

此时利用hash使用注入技术wce将hash注入本地:

注入完成，使用ipc然而，批量攻击并没有成功地连接到其他机器：

这个渗透教程到此结束！希望大家看看借鉴。如果您有技术咨询，请联系我们
黑客19引领实战潮流，回归技术本质，以行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载，但请注明原始链接，谢谢！