黑客19 – 引领实战潮流,回归技术本质,以行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载,但请注明原始链接,谢谢!
目标:https://..edu.tw/?140.1*.*.66 聪明的你应该知道是哪所学校,但为了满足行业的要求,最好在这里编码,以示对学校的尊重.
一、信息收集
首先,检测它是否存在DNS域传送:
然而,直接进行子域名探测并不幸运,共有327个子域名被扫描,截取部分如下:
利用bugscaner在线CMS识别对所有子域名进行批量识别,并筛选出状态码200的域名共148个,初步的信息收集告一段落。
二、getshell
疯狂cve测试失败后,我们别无选择,只能逐一选择148个网站fuzz。
经过无数次的失败,终于迎来了可喜的胜利。140.1*.*.*6,在尝试了sql在注入、后台扫描等常规操作失败后,我们发现网站有注册功能:
点击注册,发现个人照片上传功能,突然觉得有戏。
果然,虽然直接上传php文件会被拦截,但是通过拦包修改上传后缀后可直接上传php文件。照片名称被命名为帐户 .php。
拿下shell然后我们先收集简单的信息:
mysql数据库账密:
看起来内核版本可以提权,所以上脏牛脚本,gcc执行结果如下:
显然是失败了,对于linux提权知之甚少,只好选择放弃,大佬们若有更多姿势,请不吝赐教。
管理员都来自ip:140.1*.*9.173,上传我们的tunnel,我们可以开始愉快的内网渗透。
三、内网渗透
我们必须尽可能多地获得内网的权限,最终接近域控。
首先,我们去管理员那里ip段140.1*.*9.0/24试图获得更多的权限,你可能会想为什么不是内网ip,其实上湾湾的教育网大部分都是外网当内网用的,习惯就好。
利用nmap扫描管理员的网段MS17010漏洞失败,发现管理员机器没有打开445和3389端口,猜测可能是个人机器。因此,改变主意,继续直接从shell网段开搞。
依旧是利用nmap扫描MS17010,幸运的是,我终于找到了可用的机器。
直接使用工具:
这里有三个模块可以使用romance,开始,成功写入后门:
服务器监控端口,将shell反弹回来,成功执行命令:
这里有三个模块可以使用romance,开始,成功写入后门:
不幸的是,这台机器不在域内,抓住密码就溜走了。获取管理用户hash
此时利用hash使用注入技术wce将hash注入本地:
注入完成,使用ipc然而,批量攻击并没有成功地连接到其他机器:
这个渗透教程到此结束!希望大家看看借鉴。如果您有技术咨询,请联系我们
黑客19引领实战潮流,回归技术本质,以行动推动行业技术进步
唯一的联系方式[email protected] 和 [email protected]
欢迎转载,但请注明原始链接,谢谢!