实战渗透某大型传销组织 - 有思路有干货

前言：在这疫情每况加峻的时世下，我和阿浪师傅无意发现一传销组织站点居然还在为非作歹！作案连连！现在连买口罩的钱都没有了，居然还出来诈骗！老百姓容易么！？反正我俩是忍不住了！准备磨刀霍霍向狼群，提刀就是干它！

首先我们是对目标站点进行整站分析和空间搜索，这里直接将域名扔进TSCAN平台（https://scan.top15.cn/web/）并且同时进行空间搜索，这里我们使用FOFA，于是发现3389、22、21端口开着，立马就对21、22端口尝试进行连接，但是发现都关闭了，然后就用工具开始爆破3389端口，看看有没有弱口令。

当回头看整站分析检测结果时，发现有CDN，于是我们就停止爆破了。

这是整站分析的结果，用的是国外有名的服务器CloudFlare，接着尝试绕CDN寻找真实IP，这里利用我们星球上面一篇绕CDN寻找真实IP的文章思路去挖，经过各种技巧，最后很可惜没有挖到，不灰心，紧接着就是从网站入手。

这里说下我的思路，因为担心直接使用目录扫描器会Ban我的IP，所以我通过TSCAN平台得到一处编辑器信息泄露。

阿浪师傅用扫描器进行分析，直接爆出后台地址以及编辑器信息泄露

那对于我们来说，能最好利用的当然是编辑器漏洞啊，还是有名的UEditor。后台地址的话，我们要有账号密码才行，因为WEB只是一个登录界面，注入漏洞已经检测过了，不存在，所以暂时不考虑它。现在立马着手利用UEditor编辑器漏洞。于是好戏来啦！

这里先放我们成功GetShell的战利品。以下我会分享自己和阿浪师傅渗透的思路。首先当我看到编辑器信息泄露的时候，我是立马去访问了，于是看到这个。

不出意料，于是我就想当然的插入图片附件，即我的图片马，但是才发现这里没得提交，那既然上传不到服务器，这个思路就不能进行了。然后我才开始查阅关于“UEditor编辑器漏洞”的资料，这个时候，微信DDDD不停地响，打开一看，阿浪师傅说getshell了。

正当我惊讶二连之时，他已经叫我准备做提权环节了。阿浪师傅丢了一个链接给我，跟我说通过这篇文章复现漏洞成功。

传送门：https://www.freebuf.com/vuls/181814.html

这是FreeBuf前辈们留下的经验，各位网安朋友们可以仔细研究。按照文章里面的思路，需要在本地构造一个HTML。

因为文章里头的思路说需要远程shell地址，而且还要图片马，所以这里我已经准备好了。

然后将远程shell地址输入到输入框当中，如下图：

注意：这里要手动加上?.asp

万事俱备，就差Submit了。

好勒！这里上传成功，并且知道图片的绝对路径。蚁剑连接上去！这样就回到刚刚我们的GetShell画面了。你以为这样就结束了？还有提权呢！都坐端正来。直接终端输入whoami查看当前用户权限。

发现是IIS用户权限，权限很低。这里尝试添加用户，虽然我知道很大可能会报权限不够的信息，但还是要尝试一下的嘛，哪怕只有1%的希望。

哈哈哈哈，果不其然。于是我们开始用尽各种办法上传提权文件，发现大部分都会报对象错误或者写入失败错误。

还有一个现象，若上传的文件高于100KB左右就会返回500。到这里有点头大，于是阿浪师傅说上传个远控试试。无奈发现远控太辣鸡，非得需要控件，下载控件的时候还一直卡住，这样下载什么时候是个头？于是我把我的远控发给了阿浪师傅，因为我的远控生成的木马只有104KB，按上面得出的结论，文件如果低于100KB的话，上传的成功率还是很大的。所以只要想办法减小一下体积应该就能上传成功了。说做就做，立刻用UPX进行压缩，文件大小变成51KB。

这里很成功地传上去啦！然后就是肉鸡上线。

上线后尝试修改密码、增加用户等等这些操作都失败了，到这里还不能顺利提权，我们基本有些崩溃了。这时候阿浪师傅跟我来了一句“年轻人，凡事肯定不是一帆风顺的，想要生活过得去，头上必须带点绿。”然后我跟师傅说“我明天就去染个头发。”

正在反复研究中......“滴滴滴滴”什么叫师傅？师傅就是能够在关键时刻能站出来做榜样的！阿浪师傅灵光乍现，既然找不到数据库配置文件那么直接打包网站让公安找吧，之后就直接调用服务器winrar这个程序直接压缩整站然后下载~

代码：

"路径/rar.exe a -r -s -m1 C:\wwwroot\xxx.com\1.rar C:\wwwroot\xxx.com\"

压缩完事后，想了想数据库肯定也不能落下啊！

但是在下载数据库的过程中又报错了，下载失败。看来只能进行到这里了。于是我们联系好网安警官，把手头上的资料递交上去，剩下的就交给我们的警察蜀黍啦了。那边说利用他们的设备找一找数据库，届时会回复我们。

这里跟大家说一个好消息，在即将写这篇文章之前收到的，数据库成功拿下！