Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17630 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
某HW行动中的一次渗透测试
本文来自公众号:安全祖师爷   2020.11.18 16:12:31


来源https://xz.aliyun.com/t/8493

在某次HW行动中对一个学校的资产进行渗透测试。在其一个智慧校园管理系统发现了一处sql注入。


可以看到可以选择以什么身份登陆,而且选择学生登陆的时候,还可以选择年级。
抓包看下是否存在数据库交互:

可以看到,会去服务器请求对应年级的数据,尝试添加单引号,出现报错,证实存在sql注入。

因为网站没有waf,所以直接拿sqlmap跑:


可以跑出管理员的账号,并且拿到了os-shell。
因为os-shell不方便,所以想弹个cs的shell或者上个webshell。但是当时局限于直接在web目录写shell,还有powershell反弹shell,前者不知道web绝对路径(尝试过在os-shell中利用dir命令来寻找web目录,但是他的目录是中文的,os-shell一直出错),后者被杀毒软件阻止。
当时没有想到利用bitsadmin等系统工具来下载木马执行,所以想着利用管理员账号进行网站后台看看。


在后台发现了一处文件上传

尝试上传aspx(简单的前端检测绕过)。


返回500,但是文件却成功上传到了服务器。


访问aspx文件,出现403错误


应该是iis限制了目录文件的权限。这里有两种办法,一种是上传web.config文件来增加文件的执行权限,一种是尝试进行路径穿越。
这里选择上传web.config文件

再次访问,出现未编译错误


大概是因为整套源码都是已经预编译好的,无法直接使用ASPX脚本。
尝试上传asp文件,成功解析:

附:web.config实战用法

接着上传asp webshell,用蚁剑连接:


查看一下权限:


接下来想弹shell到cs进行提权和进一步横向。
tasklist看下有没有杀软:


有赛门铁克会检测流量,所以得绕下流量检测。可以利用合法证书来加密cs的流量。
ssl证书的话可以自己申请,也可以利用keytools伪造。申请完证书之后用openssl生成 keystore


  1. openssl pkcs12 -export -in fullchain.pem -inkey key.pem -out stao.p12 -name stao.site -passout pass:mypass


  2. keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore stao.store -srckeystore stao.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias stao.site


这里我还替换了cs的profile,c2 profile可以用来控制Beacon payload的行为,直接用了github现成的。
https://github.com/threatexpress/malleable-c2/blob/master/jquery-c2.4.0.profile
其他可以默认,但是要改一下其中ssl修改证书的配置,指定为我们刚刚生成的证书。


修改好profile之后,运行./c2lint2 xxx.profile检测一下。


没问题就可以运行cs服务器,并指定profile
nohup ./teamserver x.x.x.x password c2.profile &
启动客户端连接服务器,然后添加一个listeners,选择https的beacon


然后生成C#的payload,利用AVlator进行一下简单的免杀处理


将生成的exe利用蚁剑上传到服务器并执行,成功反弹shell。


接下来进行提权,systeminfo看下补丁。

可以利用https://bugs.hacking8.com/tiquan/进行补丁的对比


尝试下ms16-075,成功提权。

提权之后发现没有什么值得进一步渗透拿分的地方,因此写报告提交,over.