小记一次hvv实例

869858718   ·   发表于 2021-06-28 14:33:49   ·   实战纪实

这里就简单聊一下学完正式课,去hvv的一些实战分享吧,这里运气比较好,去了两次还都算有所收获。由于有些涉及单位的信息,而且图有些也没截取全,部分地方就用语言简单描述一下,主要还是分享一下思路。

案例

首先这里的hvv是给了我们对应目标资产的,就我们这个单位给了一个门户网站的地址。
目前该网站已经访问不了了,在整改。

1. 信息收集

就复现一下当时的渗透思路,步骤吧。首先拿到一个网站,我开始做的是通过站长工具对其进行进行ping检测,发现各地返回的地址都是相同,说明基本是一个实际IP。然后用Nmap对其进行全端口扫描挂着,nmap -Pn -p 1-65535 ip
扫描结束后,发现只开了公网的http,并没有其他什么东西。那么就基本要从这个web应用来开刀了,先简单粗暴,信息收集。
随便点了点,发现有类似传参的东西,http://********/search.aspx?key=1
试了之前学的判断是否存在SQL注入的方法,发现具有有WAF,那没辙了,毕竟比较菜,不会绕,而且绕过了拿到里面的数据,也得先找后台是吧,hvv目标是拿下目标服务器,并进行内网渗透。

在官网我们用风哥给我们的7kbscan-WebPathBrute。把目标网址直接填进去开始开扫,先整理一波网站目录。

这里直接扫描到了他的后台 http://*********/admin/Admin_Login.aspx

本来想爆破,一看有验证码,这不完了蛋了吗。试了一下简单的admin/123456、admin/admin也没有进入成功,先放着,看看有没有其他的问题。
不过这里我发现验证码可以绕过,这里的问题是验证码可以重放。截了个包,在reprater模块按了几次send后发现返回包还是提示用户名或密码错误。那就放着爆破(没爆出来,看来不是弱密码)。

那好办了,先爆破一波,用户名admin,然后弱密码走你,梭哈!

在工具帮你爆破的时候也别闲着,看看主站有没有什么地方可以搞的。
这里我看着看着,主站有一个链接,写着信息**系统。我点了一下,是个登录界面,而且这个登录界面还有个帮助信息。我点开来看了一下,由于现在关站了,当时没有截图,我就口述一下,大致这样:用户名由姓全拼,名简写组成,如张小丽,用户名就为zhangxl,初始密码111111。
好家伙,这不就来了吗,看到这个一想到总会有人不改密码的,但是我好像没有姓全拼,名简写的字典啊。。。求助风哥无果。给的是姓名首字母的简拼。

这里我找网友要来了一个字段生成工具,生成了我们想要的字典

这就舒服了呀,老弟

他那个后台同理有验证码重放的问题,直接用户名上字段,默认密码111111开跑。

2. 进后台找上传点

运气不错,直接跑到了很多默认密码,估计这系统好久没用了吧

那么我们来看看这里面有没有什么我们可以利用的功能呢?比如找个上传点。
这里找到一个,投稿的地方,有个上传图传的功能。

这边比较简单,直接burp改对应后缀就能上传成功了。

然后右键图片,复制图片地址,找到路径,蚁剑连接TMD

3. 提权杀入内网

打开虚拟终端,看看,发现不是administrator用户,那么就想提权。

用学院之前给的魔改版烂土豆,发现死活传不上去,可能有什么拦截掉了。试了半天反正没搞定,只能找一起打HW的小伙伴帮忙了。

让他用冰蝎连接目标服务器,然后上传文件。冰蝎好像是传输加密的,所以无法检测到?我不太清楚,总之他用冰蝎连接成功了。
直接给他新增一个管理员账户admin。

然后发现,好像公网没有开对应的远程端口。继续求助小伙伴,他用CS挂了一个代理。这里的代理必须是目标机器能访问公网,因为我们是公网的代理服务器。
呜呜呜,我不会,我是fw,求教教

(学院出内网渗透课,必买)

代理挂好后,用Proxifier工具连接代理

这个正式课里面的福利课里有涉及,具体端口ip和你挂代理的设置有关

这不成了么,我直接在本机就能访问到目标服务器了
然后使用netstat -ano 发现这家伙居然没有远程3389,好家伙,跑机房运维的???
直接百度,cmd命令开始RDP远程的命令:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

然后用之前增加的admin账户远程

成功了,成功了,杀入人家内网了。
这里我特地去看了一下,为啥没开远程,好家伙原来administrator是空密码,所以用“猕猴桃”也没抓出密码来(本来想用这个工具试试内网其他的服务器是不是相同密码),然后他们是用TeamViewer 远程的。

4. 拿下内网各种东西的权限

4.1 本机的东西
首先现在本机找点有用的东西,毕竟hvv是看你拿下的权限有多少

首先直接netstat -ano 发现有个6379的端口,那默认是redis数据库
发现该数据库是空口令,直接进去了。

然后去源代码里面找到数据库的连接帐号密码
好家伙,密码设置的还挺复杂

连接成功

然后可以找对对应SQL Server数据库中存储的内容,可查询到对应系统的用户名和口令

4.2 内网中其他东西
我们这里就直接在他机子上装了个nmap,用这台机子直接对它的内网C段进行扫描。发现了一个应用系统,弱密码admin/admin,管理员权限

拿下好多默认密码的华为视频会议系统
admin\Change_Me

还有各式各样一些其他的东西(打印机、什么记录仪等),比较杂,应用这块我就不举例了,进了内网后搞的东西可多了。

4.3 拿下某管控平台权限
重点来了,在我们拿下的那台服务器上,我们发现了他是一台服务器的管理端,有个8443端口。好家伙,这玩意管理端没装杀毒?我们这个烂土豆都没杀掉?(之后的hw碰到有杀毒的都凉了,没有免杀的,好气,提不了权)。

我们找到控制台的登录界面。

试了一下,不是弱密码,还有登录失败锁定,这可怎么搞?

经过仔细的排查,发现最近删除掉了一个叫TQ的txt文件,然后那个文件正好可以恢复,里面居然有天擎的密码。真的是鸿运当头。

然后成功登陆。

重点来了,重点来了,这个软件有个下发文件的功能
我们直接上传CS马,并分发执行

好家伙,装了这个软件的全部中招,这权限是真的大,这里服务器+终端总计78台

为了避免发马过多,我们这里就选了一台作为测试
这些我不会,都是小伙伴做的后面

运行“猕猴桃”,找到了这台的密码,还挺有复杂度的,一般猜不到
直接远程拿下

建议对这种分发功能应该设置二级密码进行限制

拿下的这台服务器里面还有应用系统,可以找他数据库密码

5. 总结

这是小弟第一次hvv,根据学到的知识,应该说成功的开了个口子,总体大概:
根据提示存在默认密码和知道用户名命名规则 → 制作对应字典爆破系统
进入系统后台,找对应上传点 → 上传马,拿下目标服务器
在目标服务器上挂代理,杀入内网 → 进一步进行内网渗透
进到了目标服务器,后面才会有更大的动作。因为内网渗透不太会,基本叫好兄弟帮忙搞的。总之运气还是不错的,刚好没装杀毒,不然很可能提权那一步就出问题了。而且针对有WAF的站点,目前能力有限,直接放弃,通过信息收集来获取进入后台的权限。
感觉挺好玩的,有空去了解一下免杀 ,如果有搞个免杀版烂土豆就舒服了。

用户名金币积分时间理由
Track-聂风 120.00 0 2021-06-29 12:12:04 挺好的

打赏我,让我更有动力~

Attachment List

字典生成.zip   File Size:4.055M (Download Count:10)   Price:1

4 Reply   |  Until 3个月前 | 635 View

dienamer
发表于 6个月前

666受益匪浅

评论列表

  • 加载数据中...

编写评论内容

lbclbclbc
发表于 6个月前

上传图片的时候是有路径回显嘛,如果说不知道路径不久gg了

评论列表

  • 加载数据中...

编写评论内容

2768905967
发表于 6个月前

这也太顺利了,我酸了

评论列表

  • 加载数据中...

编写评论内容

yangroupaomo
发表于 3个月前

很秀

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.