文末有靶机地址 | 从零模拟一次实战记录并成功提权

1、前序

前天下午,风和日丽,我呆呆的坐在电脑前,思考着我存在的意义。这时,大佬突然走进机房,扔给我了一个靶机,让我搞定它。瑟瑟发抖的我,也不敢问什么,扛着靶机来到了一个没人的地方。打算花些时间来研究下。

于是我便花了一天半的时间,将他从一个网站渗透到了服务器并提权(大佬说一般情况下没做过类似靶机的人一个半小时就能搞定)。由于本人萌新,第一次做,也是第一次成功,很开心,于是记录下过程并总结一下学到的经验。

2、环境

靶机:

系统:Windows2008 R2

容器:iis7.5+asp

IP:192.168.111.177

攻击机:

系统:kali

IP:192.168.111.179

3、任务

`拿下服务器权限,并能远程登陆上去`

4、过程

  • 信息收集:

拿到靶机,第一件事,就是先收集靶机信息,上神器nmap:

80,135,445,49155四个端口,80端口先放一下,

看到445,立马想到了ms17-010。

再使用nmap,针对这个漏洞探测一下:

很明显,445端口不存在漏洞(最后大佬告诉我,他打了补丁的),那系统漏洞可能就没有了,有80端口那就利用web漏洞了,行吧,收集web信息吧。

  • 容器探测:

记一笔:iis7.5+asp(iis7.x存在畸形解析漏洞,等会可以看看是否能利用)

  • 目录探测:

发现一个/admin后台,其它的就没什么用了,再记一笔

其它的貌似没有了,那就直接访问页面看看网站结构吧

  • 漏洞探测与利用:

首页

并且在页面底部直接就存在后台管理:

点进去看,页面内容:

登进去,用户名,密码直接有,什么意思啊?这么容易?心里嘿嘿嘿~~~,结果只是闹着玩儿的,这玩意密码错误,无果后,还是记下南方数据网站管理系统 10.0吧,等下说不定能用上。

信息收集到此结束

统计一下,有如下信息:

```

端口:80,135,445,49155(不存在系统漏洞)

容器:iis7.5 + asp (iis7.x存在畸形解析漏洞)

cms:南方数据网站管理系统 v10.0

```

大概了解了一下网站结构,首先我想到的是拿后台(后台)注册会员,利用会员登陆,看看有没有什么可以上传的地方,找了一圈发现没有,

便开始尝试查找sql注入,各种链接点,提交单引号,都是提示:

过滤太多,暂且先放弃一下,还是直接去搜cms漏洞吧,nice,

有一个直接爆账户密码的0day漏洞

参考文章:http://www.vfocus.net/art/20110511/8986.html

MD5解密,密码为roottoor,得到用户名和密码,admin:roottoor

登陆后台:

直接找上传,哇~上传点还挺多:

几种上传绕过的方法:

经过以上的上传绕过测试后,无果,

并且iis7.5的畸形解析漏洞也无果,最后查资料发现,

这个畸形解析漏洞只对php适用,他只是php的cgi配置错误导致的,https://blog.51cto.com/zhpfbk/1878421

再记一笔。

我尝试了所有我能想到的上传,均无果,于是我换了下思路,看看能否再添加配置文件信息;

试一试,这不试不知道,一试吓一跳:

在任意一框内添加<%evalrequest("a")%>,保存,

哈哈,网站崩了~,害怕,还好之前拍了快照,恢复继续,

所有这里注意一下!!!,后台配置插入一句话,一定要慎重,慎重,慎重,特别是asp;不然会GG掉,这里有一篇关于后台插一句话的小文章

http://www.voidcn.com/article/p-ouluixwu-pr.html

回头再去试试(/坏笑脸),当时其实还试过闭合插入,也是一样的崩,试过几次,就放弃了(因为是第三次我才开始拍的快照,难受),最后实在没有办法了,我就去google了一下,最后找到了一个方法,上传文件配合备份数据库成功上传shell。

http://www.myhack58.com/Article/html/3/62/2012/35900_2.htm

  • 提权:

菜刀连接,发现各种无权限,只能添加文件,和部分读文件,后来又上传了大马尝试提权:

结果依然不行,毕竟我是萌新,对提权这块经验还不足。后来问大佬,他让我尝试反弹shell到meterpreter上试试,继续使用神器:

shell进去,查看权限,果然是iis权限:

命运的使然,我没法直接getsystem,然而偷令牌,我也没有找到管理员运行的进程,漏洞模块也无法利用,啊啊啊啊~我真的没招了;

最后只得找大佬,最后他给了我一个exp,

利用该exp成功提权cve-2018-8639

exp地址:

https://github.com/ze0r/CVE-2018-8639-exp

不知道为什么 ,这个exp不是很稳定,执行命令时,有时会卡顿,这里告诉大家一般人我都不告诉的别人小方法(跟着大佬学的),直接利用菜刀,写bat文件执行,出错就会减少很多(其实我是知道很多人都能想到的)。

然后就是 添加用户,并升为管理员组:

到这里提权就结束了。但是我们的任务是拿到权限,并能够远程连接上去。

这里有个问题我开始就发现了,但是没想那么多,无法ping通主机,到这里我才想起它应该是开了防火墙的

这里根据我们之前收集的信息我们需要做的是

```

1.开启win2008的 3389端口

2.关闭防火墙

```

开启3389端口:

关闭防火墙:

最后通过kali的rdesktop 远程连接到服务器:

总结:

虽然这次的靶机,难度不是很大,很多漏洞都能Google到,也没有特别的知识点,但是在进行漏洞检测的时候,还是比较考验耐心的,而且我认为能把不同的漏洞整合起来学习,也是考验人的。并且在对靶机的整个渗透流程中,会对渗透测试的流程更加的了解和熟悉,从信息收集----漏洞探测----漏洞验证----信息分析----漏洞利用----提权,甚至到后渗透和内网渗透。由于知识水平暂时未达到,也就只能做到提权了。

靶机地址:

链接:
https://pan.baidu.com/s/1TCNrg34ayVY77KbImb-wvw 
提取码:9iyd 

原文发布于微信公众号 - 小白帽学习之路(bat7089)

原文发表时间:2019-05-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券