长亭百川云 - 文章详情

实战红队:记一次从文件上传突破TQ到内网突破

火线Zone

57

2024-07-13

关注我们❤️,添加星标🌟,一起学习交流安全知识!
作者:youunsafe@火线Zone
声明:仅供学习参考使用,请勿用作违法用途,否则后果自负

内容正文

前言

参加某级单位组织的攻防演练,记录一次从难缠的ueditor上传到内网横向的实战

文件上传

目录扫描扫到的二级目录,确实这个目录很难扫到,并不是传统的ueditor的文件上传目录,看回显似乎可以上传

构造html

shell addr:

远程vps起服务

python3 -m http.server 15230

将aspx马另存为jpg,无需图片马,图片马解析报错,事实上服务器只是对response的类型做校验

上传成功

可以发现在第一次访问的时候可以访问,再次刷新404,文件上传成功了一直被杀掉,应该是被杀软杀掉了,接下来就是一系列尝试免杀绕过,乱七八糟的webshell免杀平台都尝试了都被杀软杀掉了。

这个项目还不错

https://github.com/cseroad/Webshell\_Generate

上传尝试

成功解析,未被杀掉

连接webshell

查看是被谁家的杀软干掉了

奇安信天擎,干的漂亮。

权限维持

目标可出网,上线CS,进行提权,考虑到这个服务器上的天擎,进程确实是kill不掉的,所以这里上线cs也是需要提权的。

关于CS的免杀可以参考这篇文章

Win下CS免杀技术以及新思路 - 火线 Zone-安全攻防社区 (huoxian.cn)

时间有点儿久了,可以参考一部分tricks

winserver服务器直接土豆提权

提权成功抓取凭证

管理员密码NTLM可解密,解密后发现规律。

隧道搭建

使用FRP的最新版进行隧道,这里的试错成本也挺高的,因为按照平时比较简单的配置,一般使用FRP做穿透的时不选择tls加密,这里配置文件中选择流量走tls加密,其实后来测试了FRP老版本脱壳后也不杀

隧道ok后走socks直接代理到本地3389操作更方便。

远程桌面连接上就是该服务器的工控类的业务。

内网横向

利用抓取到的服务器的密码,密码非一致但有规律,以服务器IP地址结尾,测试了有连接状态的几台服务器,成功登录服务器B

桌面的123123.txt中存放的有密码记录,成功获取到服务器10+,同时对内网的8848端口扫描nacos,获取多个nacos添加用户,获取大量配置文件

配置文件中有其它跨段的业务,获取大量数据库。一个边界,三家二级单位,从业务网到办公网。

加入社群

1. 火线Zone已经开启外部粉丝社区群,大家可在群内进行技术交流,但严禁发表与技术无关的和讨论政治相关内容

2. 火线安全同城安全群正式启动!我们将持续组织本地安全活动,激发行业技术交流的活力。真诚邀请您的加入,共同营造一座安全创新之城。

添加小助手,发送“同城群”加入同城安全专家群

·同城聚会 ·安全活动 ·结识大咖 · 技术交流

发送“社区群”可以加入火线Zone社区技术群

火线Zone是火线安全平台运营的安全社区,拥有超过20,000名可信白帽安全专家,内容涵盖渗透测试、红蓝对抗、漏洞分析、代码审计、漏洞复现等热门主题,旨在研究讨论实战攻防技术,助力社区安全专家技术成长,2年内已贡献1300+原创攻防内容,提交了100,000+原创安全漏洞。

欢迎具备分享和探索精神的你加入火线Zone社区,一起分享技术干货,共建一个有技术氛围的优质安全社区!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2