实战|记录一次渗透测试项目

简介：

这次的目标有点子大型，目的是打进内网。

正题：

主站一般不想了，先搞子域名还是常用的办法子域名先跑一边，我这里使用的工具是oneforall，把收集到的子域名统统搞一遍，发现该子域名上所有的web程序都是使用的同一款cms(别问怎么知道的，问就是云悉查的)，然后这套cms网上并没有啥可以利用的公开漏洞。

这里因为我看的资产现在都被关闭整改，有些图就没了(是真的没了，当时没截图好)，当时是在一个子域名的系统上面，一开始没注意看，后面又仔细的看了一遍，发现最下面的一个发布区有一连串的http:ip:port/路径(一定要善于观察啊，兄弟们)。数了一下，大概就是一个服务器上搭了十几个应用(服务器够强大)，抽了几个出来访问，发现都是老古董，asp语言开发的站，那数据库就是access的咯，可能就是RP好，注入拿下解出账号密码admin/amdin888，后台页面也简单，就是路径加admin就行。

后面登入该系统，尝试getshell，找有传的地方，不过有点东西哈，有数据库备份功能，在这里可能很多朋友都没碰见过数据库备份getshell了，利用方式很简单。找一处上传点，正常上传一个图片(图片一句话马)。

然后到数据库备份的地方，我们要先复制好刚才成功上传的图片地址，然后到数据库备份处，就是通过数据库备份功能把jpg的一句话木马的格式改成asp。

成功Getshell，我们用菜刀，蚁剑之类的连接一下。

连接成功，拿到shell，再接下来就是要进行提权了，执行几个命令看看。

提示我拒绝访问，这里有知识点来了(针对新手哈，大佬跳过)

提示拒绝访问有两种可能(可能不止两种，我就知道两种而已)

1、出现以上提示可能是cmd权限不足，需要自己上传一个cmd.exe，注意windows server不能使用win10的cmd，需要对应版本。

2、可能启用了安全模式(但是这里没有提示，那就应该是第一种)

解决方法：

1、重新设置一下cmd路径：如setp:C:inetpubwwwrootcmd.exe

2、上传一个大马寻找可读写目录，重新上传一个cmd(版本需要匹配)

第一个方法试过了，不行。换第二个方法上传个大马(还是上面一样的操作，数据库备份)有人可能会说，用菜刀直接添加一个文件加入大马代码，试过了，加不进去撒。不让保存。

大马上传成功，使用大马探测本地可读写目录。

可读写目录找到了，接下来就是上传一个新的cmd(64/32)都上传一个，测试一下。上传的就不截图了，看下执行命令吧。

成功执行命令(还是双网卡)那这里咱们的cmd就能成功执行命令了，查下补丁情况，

systeminfo

执行看看能不能提权，应该是台 03的机器。

2003的系统，但是当前没有域。

查询当前权限：

whoami

把补丁号复制出来匹配一下，没打什么补丁，有没有可以能提权的exp。

有可以尝试来利用的exp，这里提权其实没有成功，我上传的文件全部被360删除了，这台机器上面有360的主动防御，使用cs的马也会被杀。后面接直接使用了socks4的代理，进内网，扫了一个网段的常用端口，发现了他们内网的里面的一个web应用。