记某次HVV：通过windows特性获取内网权限

## **前言：**

前段时间，我参与了某地的一次HVV操作，取得了不错的效果，所以我就以记录我在HVV过程中遇到的一些好想法来开始这篇文章。本文是HVV 系列中的第一篇。以后我会继续和大家分享好的想法。

## **文本：**

言归正传，我们先介绍一下本次渗透的思路：外部管理获取漏洞——\\利用客户端windows功能调出命令执行窗口并获取外网服务器shell——收集本地浏览器密码获取内网系统管理员权限——收集信息并获取同网段所有服务器权限——退出游戏。

开头有一张图。每个经常访问内网的人都应该熟悉这个系统。是某次元服务器老版本的经典界面。事实上，很多大佬已经对这个系统进行了详细的分析，包括信息泄露、SQL注入等漏洞。互联网上也有公开的研究文章。在这篇文章中，我与大家分享一种通过应用程序本身的特性来获取服务器权限的相对简单的方法。

**打开洞**

服务器有一个弱密码admin/admin。如果幸运的话，我们可以直接获得系统级权限并进入后台。通常后台都会有一些系统级的功能，比如启动某个金融系统客户端（实战中比较常见）或者将桌面功能放在后台。

**Windows 功能获取shell**

我这里遇到的情况是，某款财务软件被放置在系统的后面，并且某款财务软件也存在弱密码。通过弱口令直接登录客户端，你会发现它是Windows平台的标准客户端框架。之前在一篇文章中看到过，这种客户端可以通过Windows功能调出命令执行窗口，就是“shift加右键”的方法。在这里我们找到一个可以上传或下载文件的地方。在弹出的文件浏览器中，使用shift并右键调出cmd。

**内网系统权限获取**

获得初步的shell后，我们开始对服务器进行深入挖掘。这里上传了一个mimikatz来捕获明文密码。

然后在网络上发现了许多机器。

我用捕获的密码到处登录，在三四台机器上获得了权限，登录到这些机器上搜索有用的信息，并找到了本地浏览器密码记录。

通过明文密码，我们获得了人力资源管理系统、安全监控平台以及更重要的云服务器权限。以下是云服务器的截图。由于它具有超级管理员权限，因此它直接控制整个内网服务器。

此时的分数已经足够被淘汰了，所以我们没有继续深入。转载自freebuf：[https://www.freebuf.com/articles/web/389772.html](https://www.freebuf.com/articles/web/389772.html) 作者：轩智安全实验室