0x01 前言
由于近期参加了某地区的攻防演练,近期会分享几篇关于本次攻防演练的文章,写的比较水。如果写的不好的地方,还请各位师傅指点。
0x02 外网打点
当时开始打这个站的时候,发现旁站有个弱口令,进入之后没什么漏洞点,也没什么上传功能,所以简单浏览了一下,就没接着看了
一开始发现有一个目录遍历,把里面的东西都看看,看看有没有什么敏感文件
打开FileService.asmx文件的时候,发现有一个savefile功能
这边有个上传接口的示例,需要的条件有filePath、fileName、bytes,不知道路径是啥,所以就先搁置了
在目录遍历里面,发现有log文件夹,在log文件夹里面有相关的日志,这样子就获取到的文件的绝对路径
需要的条件都存在了,这样子就可以自行构造数据包,进行上传,上传的时候坑也比较多,因为目标机器上有sxf edr和360结果普通的马儿上去直接被秒了,别问咋知道的,上去之后发现的,这里的马子也是用编码绕过去的
成功之后查看一下权限,iis的权限,虽然很低,但是问题不大
查看了一下补丁
发现存在一个域,难得这种小地方的hw尽然存在域
权限比较低,所以说上线cs试试,查看了进程,发现存在360杀软、深信服edr,问题不大,可以免杀,一把梭哈
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 272 暂缺
csrss.exe 384 暂缺
wininit.exe 448 暂缺
csrss.exe 456 暂缺
winlogon.exe 500 暂缺
services.exe 540 暂缺
lsass.exe 548 Netlogon, SamSs
svchost.exe 620 BrokerInfrastructure, DcomLaunch, LSM,
PlugPlay, Power, SystemEventsBroker
svchost.exe 664 RpcEptMapper, RpcSs
svchost.exe 760 Dhcp, EventLog, lmhosts, Wcmsvc
svchost.exe 784 Appinfo, BITS, CertPropSvc, DsmSvc, gpsvc,
IKEEXT, iphlpsvc, LanmanServer, ProfSvc,
Schedule, seclogon, SENS, SessionEnv,
ShellHWDetection, Themes, Winmgmt
dwm.exe 820 暂缺
svchost.exe 828 EventSystem, FontCache, netprofm, nsi,
W32Time, WinHttpAutoProxySvc
360rps.exe 900 360rp
svchost.exe 940 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc, WinRM
svchost.exe 584 BFE, DPS, MpsSvc
spoolsv.exe 1128 Spooler
svchost.exe 1176 AppHostSvc
svchost.exe 1380 TrkWks, UALSVC, UmRdpService
VGAuthService.exe 1400 VGAuthService
vmtoolsd.exe 1552 VMTools
ManagementAgentHost.exe 1780 VMwareCAFManagementAgentHost
WmiPrvSE.exe 2188 暂缺
svchost.exe 2864 TermService
svchost.exe 3056 PolicyAgent
dllhost.exe 3124 COMSysApp
msdtc.exe 3348 MSDTC
taskhostex.exe 4028 暂缺
ChsIME.exe 4084 暂缺
explorer.exe 3324 暂缺
vmtoolsd.exe 4936 暂缺
360sd.exe 4988 暂缺
360rp.exe 5072 暂缺
ctfmon.exe 5188 暂缺
ChsIME.exe 5216 暂缺
csrss.exe 748 暂缺
winlogon.exe 5296 暂缺
dwm.exe 3704 暂缺
rdpclip.exe 5944 暂缺
explorer.exe 4904 暂缺
ctfmon.exe 2712 暂缺
ChsIME.exe 4840 暂缺
svchost.exe 6336 W3SVC, WAS
inetinfo.exe 7996 IISADMIN
csrss.exe 10228 暂缺
winlogon.exe 12200 暂缺
LogonUI.exe 916 暂缺
rdpclip.exe 11924 暂缺
dwm.exe 11476 暂缺
ChsIME.exe 10536 暂缺
csrss.exe 11800 暂缺
winlogon.exe 9736 暂缺
dwm.exe 10560 暂缺
taskhostex.exe 11204 暂缺
rdpclip.exe 11480 暂缺
ChsIME.exe 3412 暂缺
explorer.exe 10960 暂缺
ServerManager.exe 9872 暂缺
unsecapp.exe 8068 暂缺
abs_deployer.exe 7820 abs_deployer
edr_monitor.exe 7420 edr_monitor
sfupdatemgr.exe 260 暂缺
mss_deployer.exe 10272 暂缺
lloader.exe 1648 暂缺
conhost.exe 9064 暂缺
sfavsvc.exe 5524 savsvc
svchost.exe 12880 WerSvc
edr_agent.exe 9352 暂缺
w3wp.exe 1460 暂缺
cmd.exe 14272 暂缺
conhost.exe 13476 暂缺
tasklist.exe 8076 暂缺
直接白加黑上线cs,上线之后用烂土豆提权。
0x03 内网渗透
存在域,所以说先要收集一下域信息,查看了域用户,net user /do发现有七百多个用户
查看了域控,定位到域控
查看一下存在哪些域管
查看到当前登录的用户,发现存在域管,这样抓个密码就可以直接获取到域管的密码了,有目标是win2012,无法抓到明文,可以通过psexec等工具可通过hash进行横向,因为目标机器上都存在了sxf edr 所以说大几率存在好多台服务器都存在杀软,切勿直接横向
由于cs的马子是免杀的,可通过cs的mimikaz直接抓到密码
查看了域信任管理,发现真的好多好多子域,起飞
查看域的口令
这台机器上登录了域管账号,注入域管进程,这样就可以利用域管的凭据,导出域内所有hash,由于是地方性hw,分数刷完就没有深入,文章比较水,主要就是给大家科普一下SOAP 也可以文件上传
0x04 总结
其实整体比较简单,相关的漏洞啥的网上都能找到,主要还是信息收集这一块,毕竟渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。