小记一次hvv实例

这里就简单聊一下学完正式课，去hvv的一些实战分享吧，这里运气比较好，去了两次还都算有所收获。由于有些涉及单位的信息，而且图有些也没截取全，部分地方就用语言简单描述一下，主要还是分享一下思路。

案例

首先这里的hvv是给了我们对应目标资产的，就我们这个单位给了一个门户网站的地址。
目前该网站已经访问不了了，在整改。

1. 信息收集

就复现一下当时的渗透思路，步骤吧。首先拿到一个网站，我开始做的是通过站长工具对其进行进行ping检测，发现各地返回的地址都是相同，说明基本是一个实际IP。然后用Nmap对其进行全端口扫描挂着，nmap -Pn -p 1-65535 ip
扫描结束后，发现只开了公网的http，并没有其他什么东西。那么就基本要从这个web应用来开刀了，先简单粗暴，信息收集。
随便点了点，发现有类似传参的东西，http://********/search.aspx?key=1
试了之前学的判断是否存在SQL注入的方法，发现具有有WAF，那没辙了，毕竟比较菜，不会绕，而且绕过了拿到里面的数据，也得先找后台是吧，hvv目标是拿下目标服务器，并进行内网渗透。

在官网我们用风哥给我们的7kbscan-WebPathBrute。把目标网址直接填进去开始开扫，先整理一波网站目录。

这里直接扫描到了他的后台 http://*********/admin/Admin_Login.aspx

本来想爆破，一看有验证码，这不完了蛋了吗。试了一下简单的admin/123456、admin/admin也没有进入成功，先放着，看看有没有其他的问题。
不过这里我发现验证码可以绕过，这里的问题是验证码可以重放。截了个包，在reprater模块按了几次send后发现返回包还是提示用户名或密码错误。那就放着爆破（没爆出来，看来不是弱密码）。

那好办了，先爆破一波，用户名admin，然后弱密码走你，梭哈！

在工具帮你爆破的时候也别闲着，看看主站有没有什么地方可以搞的。
这里我看着看着，主站有一个链接，写着信息**系统。我点了一下，是个登录界面，而且这个登录界面还有个帮助信息。我点开来看了一下，由于现在关站了，当时没有截图，我就口述一下，大致这样：用户名由姓全拼，名简写组成，如张小丽，用户名就为zhangxl，初始密码111111。
好家伙，这不就来了吗，看到这个一想到总会有人不改密码的，但是我好像没有姓全拼，名简写的字典啊。。。求助风哥无果。给的是姓名首字母的简拼。

这里我找网友要来了一个字段生成工具，生成了我们想要的字典

这就舒服了呀，老弟

他那个后台同理有验证码重放的问题，直接用户名上字段，默认密码111111开跑。

2. 进后台找上传点

运气不错，直接跑到了很多默认密码，估计这系统好久没用了吧

那么我们来看看这里面有没有什么我们可以利用的功能呢？比如找个上传点。
这里找到一个，投稿的地方，有个上传图传的功能。

这边比较简单，直接burp改对应后缀就能上传成功了。

然后右键图片，复制图片地址，找到路径，蚁剑连接TMD

3. 提权杀入内网

打开虚拟终端，看看，发现不是administrator用户，那么就想提权。

用学院之前给的魔改版烂土豆，发现死活传不上去，可能有什么拦截掉了。试了半天反正没搞定，只能找一起打HW的小伙伴帮忙了。

让他用冰蝎连接目标服务器，然后上传文件。冰蝎好像是传输加密的，所以无法检测到？我不太清楚，总之他用冰蝎连接成功了。
直接给他新增一个管理员账户admin。

然后发现，好像公网没有开对应的远程端口。继续求助小伙伴，他用CS挂了一个代理。这里的代理必须是目标机器能访问公网，因为我们是公网的代理服务器。
呜呜呜，我不会，我是fw，求教教

（学院出内网渗透课，必买）

代理挂好后，用Proxifier工具连接代理

这个正式课里面的福利课里有涉及，具体端口ip和你挂代理的设置有关

这不成了么，我直接在本机就能访问到目标服务器了
然后使用netstat -ano 发现这家伙居然没有远程3389，好家伙，跑机房运维的？？？
直接百度，cmd命令开始RDP远程的命令：
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

然后用之前增加的admin账户远程

成功了，成功了，杀入人家内网了。
这里我特地去看了一下，为啥没开远程，好家伙原来administrator是空密码，所以用“猕猴桃”也没抓出密码来（本来想用这个工具试试内网其他的服务器是不是相同密码），然后他们是用TeamViewer 远程的。

4. 拿下内网各种东西的权限

4.1 本机的东西
首先现在本机找点有用的东西，毕竟hvv是看你拿下的权限有多少

首先直接netstat -ano 发现有个6379的端口，那默认是redis数据库
发现该数据库是空口令，直接进去了。

然后去源代码里面找到数据库的连接帐号密码
好家伙，密码设置的还挺复杂

连接成功

然后可以找对对应SQL Server数据库中存储的内容，可查询到对应系统的用户名和口令

4.2 内网中其他东西
我们这里就直接在他机子上装了个nmap，用这台机子直接对它的内网C段进行扫描。发现了一个应用系统，弱密码admin/admin，管理员权限

拿下好多默认密码的华为视频会议系统
admin\Change_Me

还有各式各样一些其他的东西（打印机、什么记录仪等），比较杂，应用这块我就不举例了，进了内网后搞的东西可多了。

4.3 拿下某管控平台权限
重点来了，在我们拿下的那台服务器上，我们发现了他是一台服务器的管理端，有个8443端口。好家伙，这玩意管理端没装杀毒？我们这个烂土豆都没杀掉？（之后的hw碰到有杀毒的都凉了，没有免杀的，好气，提不了权）。

我们找到控制台的登录界面。

试了一下，不是弱密码，还有登录失败锁定，这可怎么搞？

经过仔细的排查，发现最近删除掉了一个叫TQ的txt文件，然后那个文件正好可以恢复，里面居然有天擎的密码。真的是鸿运当头。

然后成功登陆。

重点来了，重点来了，这个软件有个下发文件的功能
我们直接上传CS马，并分发执行

好家伙，装了这个软件的全部中招，这权限是真的大，这里服务器+终端总计78台

为了避免发马过多，我们这里就选了一台作为测试
这些我不会，都是小伙伴做的后面

运行“猕猴桃”，找到了这台的密码，还挺有复杂度的，一般猜不到
直接远程拿下

建议对这种分发功能应该设置二级密码进行限制

拿下的这台服务器里面还有应用系统，可以找他数据库密码

5. 总结

这是小弟第一次hvv，根据学到的知识，应该说成功的开了个口子，总体大概：
根据提示存在默认密码和知道用户名命名规则 → 制作对应字典爆破系统
进入系统后台，找对应上传点 → 上传马，拿下目标服务器
在目标服务器上挂代理，杀入内网 → 进一步进行内网渗透
进到了目标服务器，后面才会有更大的动作。因为内网渗透不太会，基本叫好兄弟帮忙搞的。总之运气还是不错的，刚好没装杀毒，不然很可能提权那一步就出问题了。而且针对有WAF的站点，目前能力有限，直接放弃，通过信息收集来获取进入后台的权限。
感觉挺好玩的，有空去了解一下免杀 ，如果有搞个免杀版烂土豆就舒服了。