本文作者 : 重生信安 - 山石
### 入口
打开目标网址:test.com:9000
不做前期的信息收集,直接怼进去。开启手动爆破模式
admin admin
开始找上传点。
失败
另外一处,同样失败
既然无法上传文件,我们转变思路,想想能不能写文件
### 峰回路转
翻了翻平台的功能,最后看到这个,直接怼他!
添加主题,设置模板为123.php,编辑代码处直接插入php一句话。提交,保存!
浏览发现
被删了?以我多年的渗透划水经验,肯定有杀软,那么我们直接写大马!
再次浏览这个视图,发现成功写入Shell
但是找不到大马的路径怎么办?注意,有一个小细节。上图被删掉的PHP一句话暴露出了主题的相对路径test.com/templet/xx.php
拼接一下,test.com/templet/123.php,访问大马
直接是system!
查看一下进程,果然有杀软
### 进入内网
有杀软怎么办?这时候就要掏出我尘封已久的CS了,利用大马的上传功能!上传CS木马!(Ps:cs木马,我已经做好免杀了)
杀软禁止添加用户怎么办?那我们开启guest用户,并添加到管理组
Netuser guest /active:yesNet localgroup administrators guest /add
系统在内网怎么办?不怕,我们用cs开启一个代理,连接代理,进入内网!
登陆服务器!(原来我的PHP一句话是被火绒和360杀了)
利用cs读取管理员密码,发现有域用户登录过。
利用NetScan软件。添加读取到的管理员密码。枚举网段下的其他主机,发现好多主机都使用同一个凭据(Ps: 由于我的这个软件是试用版,所以会有*****号)
我们就此打住。就不进行后续的操作了。直接登陆那台主机吧。清除日志!跑路!
后来发现我的入口机是这台主机(199)VM虚拟出来的系统。这台主机应该是叫宿主机吧?
### 思路拓展 1
如何做一些简单的免杀?个人认为:
1. 把木马的PE头打乱
2. UPX压缩
3. Paylaod结合Py进行免杀
4. Veil
### 思路拓展 2
拿到一个目标Shell如何进行内网渗透呢?
1. 抓取本地管理员的密码进行Hash传递攻击,利用Cs的
但是目标有杀软,会被删。推荐这时把shell反弹到MSF进行后续渗透。
2. 代理进入内网,对内网进行弱口令扫描,如1433端口,3389端口等等。可以看看鲨师傅的下面文章。还有更多姿势。各位自己找找吧~~
最后。欢迎各位大佬留言搞基 交♂流
