专栏首页渗透测试红队专栏[渗透实战]第三方组件出奇迹(日常福利)

[渗透实战]第三方组件出奇迹(日常福利)

温馨提示

本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

0x01:信息搜集

信息如下,看到iis7.5+php第一时间就想到了解析漏洞

环境:windows iis7.5 PHP/5.3.28

0x02:IIS7解析漏洞

页面是一个登入页面,一个二级域名

找到图片链接地址然后在链接后面加上/.php成功解析

http://xxxx.xxxxx.com/images/login.jpg/.php

现在已经确认有解析漏洞,只需要找到上传的地方就可以了

0x03:从js泄露到Kindeditor Getshell

仔细翻js文件的时候在里面发现了kindeditor,也得到了路径

kindeditor本身不存在什么可以突破上传限制的漏洞,但是可以配合解析漏洞一起操作

http://xxxx.xxxxx.com/include/plugin/kindeditor/php/upload_json.php

现在来构造一个上传的html表单

<html>
 <head></head>
 <body>
  <form name="form" enctype="multipart/form-data" method="post" action="http://xxxxx.com/include/plugin/kindeditor/php/upload_json.php?dir=file">
   <input type="file" name="imgFile" />
   <input type="submit" value="Submit" />
  </form>
 </body>
</html>

准备好一句话木马将后缀名改为.docx,然后选择上传,成功上传得到地址!

http://xxxx.xxxxx.com/upload/Experience/file/2020/02/3_200206185133.docx

0x05:命令执行

现在拿出我们的蚁剑,添加连接

成功连接,只有www目录的访问权无法跨目录

接下来试试看执行命令,无法执行命令,得到系统2008

看了一下phpinfo被disable_functions了

目标主机是Windows系统,大部分bypass disable_function的方法都歇菜了

之前看过Com组件实现Windows下bypass disable_function的案例

奈何权限根本操作不到php的配置文件,直接告辞

但是我突然想到主站是个asp的站他肯定支持asp,二话不说上传了asp一句话

成功执行了命令! 一个iis权限,现在也可以看整个D盘不再是www目录

同时也支持aspx,但试了一下跟asp一样权限也只能看d盘

0x06 一生之敌

想执行一下tasklist却发现执行不了,systeminfo也没办法执行

直接上exp,执行时候也被杀了,我在目录里面翻到了360

通过exp提权是行不通了,因为之前的免杀exp都死光光了,

权限太低也没办法执行systeminfo也不知道补丁情况,现在看看有没有第三方软件能够利用了

0x07:Filezilla_Server

翻了翻文件夹找到了个FileZilla_server

看了下端口14147也开放

看了FileZilla Server Interface.xml文件我们可以看到

它的连接地址:127.0.0.1 端口:14147,密码这里为空。

但是14147端口在内网,无法直接访问,lcx nc等上传均被无情秒杀。

ReDuh

reDuh工具可以把内网服务器的端口通过http/https隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

本机——-客户端———(http隧道)———–服务端——————内网服务器

服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本机执行最好装上JDK。

Reduh转发14147

把服务端的webshell上传到目标服务器,然后访问,我这里是用的aspx的

命令行下用客户端连接服务端

java -jar reDuhClient.jar http://xxx.com/upload/Experience/file/2020/02/r.aspx

使用nc本地连接1010端口

nc -vv 127.0.0.1 1010

连接成功会有欢迎提示,之后输入命令

[createTunnel]1234:127.0.0.1:14147

前面的1234是本机连接用的端口,中间的ip地址是目标服务器的(可以是webshell所在服务器也可以是和它同内网的服务器),后面的14147是欲连接目标服务器的端口。

成功将14147转发出来了!

0x08:连接filezilla

打开FileZilla,连接本地的1234,密码为空

成功登入

添加个用户

权限都点满

然后使用winscp连接,可以读取C盘文件了

这里替换了粘贴键为cmd(把system32目录下的sethc.exe替换为cmd.exe)

直接登录服务器5下shift摁出来,cmd弹弹弹

System shell GET√

福利:

今天给大家带来的福利是Python基础手册,经过阅读后,发现内容贴近新手,各类基础知识一应俱全,非常适合大家进行学习~

公众号后台回复python_basic获取下载链接~

本文分享自微信公众号 - M78安全团队(M78sec),作者:Junmo

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-11-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 入侵溯源难点和云溯源体系建设

    服务器被攻击的时候,寻找到确切的攻击原因,还原真实攻击路径是一件非常耗时和烧脑的事情。

    万海旭
  • 渗透测试流程和方法

    渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所...

    天钧
  • 助力企业战疫提效保质,腾讯wetest远程办公工具包请查收!

    疫情当前,减少个人的出行与聚集成为了抗击疫情的重要防线。不少企业为了员工的安全与战疫的目标,开始实行在家远程办公的措施。作为开发测试人员,对工作环境与设备软件的...

    WeTest质量开放平台团队
  • 助力企业战疫提效保质,腾讯WeTest远程办公工具包请查收!

    ? 导语   疫情当前,减少个人的出行与聚集成为了抗击疫情的重要防线。不少企业为了员工的安全与战疫的目标,开始实行在家远程办公的措施。作为开发测试人员,对工作...

    WeTest质量开放平台团队
  • 初识渗透测试

    熟悉军事的朋友都应该了解,各个国家的军队每年都会组织一些军事演习来检验部队的攻防战术和作战能力,在美国,一般会将美军称为蓝军,将假想敌称为红军,这种军事演戏的方...

    用户5521279
  • 渗透测试工程师从业经验

    可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已有的安全防护,不一定安全,很容易被绕过。

    HACK学习
  • 像爷爷一样寻找佩奇

    最近一部名为《啥是佩奇》的短片火了,抱着好奇心点开看看,几分钟的视频,一开始莫名的喜感,直到爷爷拿出那个用鼓风机做的“佩奇”以后,眼泪突然喷薄而出,再也收不住。

    magic2728
  • 信息收集——僵尸扫描

    信安之路
  • 内网全局代理工具及特征分析

    端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这...

    FB客服

扫码关注云+社区

领取腾讯云代金券