记一次内网渗透【二】【持续更新中】 ## 0x00 信息收集 ## 通过与上一次类似的方法我们成功的进入了7.32这台服务器,并在服务器上得到了上网认证系统的管理员账号密码 ![image001.png][1] ![image002.png][2] <!--more--> 通过对该系统的分析,我们得知了教师的工号规律 ![image004.png][3] 将工号和姓名等信息全都脱下了组成我们的字典。 ## 0x01 目标发现 ## 这次我们发现一个资产管理平台 ![image006.png][4] 【因为图片是学校的照片所以全部打上了马】 一开始拿到这网站的时候发现如果进不去系统的话就只有一个登录框,也没用未授权之类的漏洞。于是立马就想到了爆破。 还记得我们之前拿到的xxx123这个密码吗?通过与老师的交谈我们得知此密码为学校各种系统的默认密码【我这里渗透的时候很多东西是通过一些简单的社工得到的】 于是就猜想使用之前得到的工号和xxx123这个密码进行爆破。 ![image008.png][5] 我们很快就得到了账号密码,等录之。 ![TIM图片20180124214732.png][6] ## 0x02 漏洞利用 ## 接下来便是看看后台有哪些功能了,我们在URL中发现点击链接时带入了工号 ![TIM图片20180124231553.png][7] 我们尝试将工号改成admin 成功以admin身份进入 ![image014.png][8] 点击返回系统首页 ![TIM截图20180124231802.png][9] 查看有没有文件上传的点,最终在添加公告处发现可以上传文件 ![image018.png][10] 但是限制了后缀,通过分析我们可以知道是前端限制了,后端并没有做验证。我们直接使用burp绕过即可 ![image020.png][11] 得到文件路径并使用菜刀连接 ![image022.png][12] ![image023.png][13] 我们使用菜刀自带的虚拟终端功能查看当前使用的用户 ![image025.png][14] 很遗憾,并没有权。于是我们进一步寻找配置文件,我们很幸运的发现当前的mssql是sa权限运行的,并且开启了xp_cmdshell ![image027.png][15] ![TIM截图20180125112144.png][16] 使用xp_cmdshell创建管理员账号并登陆,然后通过mimikatz获取管理员的密码 ![image030.jpg][17] ![image031.png][18] 接下来要干的事情便是继续收集信息 ---------- 未完待续,此文不定期更新 [1]: http://www.lovei.org/usr/uploads/2018/01/3381430008.png [2]: http://www.lovei.org/usr/uploads/2018/01/4148085840.png [3]: http://www.lovei.org/usr/uploads/2018/01/1120238575.png [4]: http://www.lovei.org/usr/uploads/2018/01/1281117743.png [5]: http://www.lovei.org/usr/uploads/2018/01/2303434296.png [6]: http://www.lovei.org/usr/uploads/2018/01/2196203013.png [7]: http://www.lovei.org/usr/uploads/2018/01/1902836413.png [8]: http://www.lovei.org/usr/uploads/2018/01/2424674429.png [9]: http://www.lovei.org/usr/uploads/2018/01/1378663365.png [10]: http://www.lovei.org/usr/uploads/2018/01/3468596150.png [11]: http://www.lovei.org/usr/uploads/2018/01/1703389113.png [12]: http://www.lovei.org/usr/uploads/2018/01/971114755.png [13]: http://www.lovei.org/usr/uploads/2018/01/2299407175.png [14]: http://www.lovei.org/usr/uploads/2018/01/3342728541.png [15]: http://www.lovei.org/usr/uploads/2018/01/3835161884.png [16]: http://www.lovei.org/usr/uploads/2018/01/3545486927.png [17]: http://www.lovei.org/usr/uploads/2018/01/4003449071.jpg [18]: http://www.lovei.org/usr/uploads/2018/01/2393284894.png