用户
搜索
  • TA的每日心情

    2017-1-17 10:21
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-见习白帽

    Rank: 3Rank: 3

    3

    主题

    44

    帖子

    354

    魔法币
    收听
    0
    粉丝
    13
    注册时间
    2017-1-13
    发表于 2017-9-12 09:22:24 2941079
    序:XX众网络,是我们市比较大的一家公司,旗下拥有我市一半以上的网吧,网吧所有服务都由该公司提供。结构分析:首先我们上到了新汇众网络在内网中的官网
    083933zv2un0h4z6j6pvuz.png
    他所说的是
    XX众旗下的所有留言,说明他的web服务应该是所有网吧都能访问的,我们追踪一下不难发现,他们走的是 两条线路,一条是通向内网自己的服务器,一条是直接走向外网出口网关的所以,我们能够得出这样一个网络拓扑图
    QQ截图20170204204942.png 084136kaxgs9eczici2i63.png QQ截图20170912083545.png

    ok,知道网络拓扑图之后大致思路就清晰了。


    渗透:老规矩,先看看他的电影服务。
    084259a2xp9xpjxxwzahle.png
    看上去很像phpcms2007有木有感觉。好像记得2007存在宽字节注入,直接来试试
    084724qecucnvejvckkkco.png
    看上去好像没毛病哈,继续试试爆密码
    084814f4aok726wxrraao7.png
    。。。。好像一切都很顺利,很顺利拿下了他的后台权限
    084911cnbj25bbbbrtbmnj.png
    后台拿shell就很简单了,,直接上传php文件搞定了。
    到这里为止,一切都很顺利,但是我们拿下webshell之后干嘛呢??
    提权服务器?不,我们可以看看其他的东西,当我每次点开电影的时候,他会本地运行一个播放器然后播放电影
    而不是在web上播放,这样就很有意思了啊。当我看他前端代码的时候我惊呆了,他们居然使用new ActiveXObject("WScript.Shell");
    来打开本地的播放器来播放他们的影片,卧草,这是在作死的节奏啊,既然他开了WScript.Shell 那么本地浏览器肯定是降低了安全性的,那么我们也可以使用WScript.Shell来执行cmd,我们来构造一个js
    090618xi00kckd0b22ukvb.png
    2333,然后在首页模板中引用js文件,更新缓存,本地搭建好一个RAT,端口映射,方便我们在外网控制,一切就绪后我们就耐心的等待了。不过一分钟
    090752ng0llslc57q0s7l7.png
    八十多台PC成功上线。。。看看来网吧上网的大PY门在干吗
    QQ截图20170204212953.png

    。。。。我不是很介意帮助一下对面。。。
    因为是所有网吧使用同一个电影服务器,之后有1000多人

    091506vluyzzyr2vf6rfvf.png

    以为这样就完了?没呢!有一次来到网吧上网,发现公司派了一个网络管理员来到网吧,检查网吧机器现状写成报告,并且通过OA上传给总部,这时候,机制的

    小J就想到了一个办法,我们时刻盯着,看看能不能抓到网络管理员。

    ······漫长的等待之后,有一天终于让小J抓到一个机会
    091702orp6vhz6v0a41sv1.png
    嘿嘿他在干吗?(这个是我之后的截图,最开始发现他已经是登陆了系统,小J使用某种手段让浏览器崩溃,管理重新打开,小J开启了键盘操作记录)。估计小J使用的RAT比较落后没带有代理功能,只能是去网吧才能进一步操作了,虽然我们有了各系统帐号密码但是还没有登录地址怎么办??键盘记录只记录到了地址为 10.0.[DOWN],那么就是10.0.回车。这很尴尬。。。但是已经知道是10.0.*.*,那么我们回溯一下之前的东西,首先网吧留言板经过10.0.1.252的设备。 外网经过10.10.139.253的设备。那么10.0.*.*会不会就是10.0.1.0/24的地址呢?我们猜了一下发现10.0.1.252就是内部系统导航地址,上面有餐饮软件下载,数据决策系统,投票管理,办公OA系统,本机地址查询。我们再来看看我们获取到的是数据决策系统,我们首先得分析 yin[<-][<-][<-]shijiayuan qu2123456 是什么? 我们直接看到有一个shijiayuanqu2我们这边就有那么一个地区为这个区域估计是这块区域的信息我们进去
    看看
    091746bfz68gmfoh6df69o.png
    我们可以看到里面有wifi管理以及其他信息,这些东西对我们没有多大作用,看下一个系统办公OA,用户命yinfei ···什么玩意?Yin fei2  估计是中文。但是是什么呢??在这就僵住了。。去翻翻桌面或盘符看下有没有什么能提示我们的东西,诶?在S盘根目录下发现
    一个名称为优秀团队分配明细及16年处罚余额返回分配明细.xls的文档。我们进去看看
    091815b00df6qoooy0sods.png


    这个是不是很像刚才我们所对应的拼音??银斐。我们试试登录看看
    091921efmafj6vvxmi9nrt.png
    哇哦,经典的办公化系统,我们进去看看有什么信息
    091942iie8j8p888ifkte1.png
    档案中心,,里面各种各样的东西都有,哇哦。这里涉及到隐私问题就不截图了,我们继续
    往下看
    092001mh85f958fbrmv99z.png
    邮件??我们能不能直接使用邮件向其他员工发邮件呢??2333,具体是要干嘛大家懂得,他们的邮件附件是每个附件必看。继续往下看看
    092051nvw8ngdzenz6uw1r.png
    每个员工信息,部门构造都有了。。。

    到这里整个渗透就已经结束了,我们并没有带着商业目的进行渗透,虽然我们可以利用内部邮件系统进行钓鱼,做更深入的渗透,但,玩大就不好了,适可而止吧。



    评分

    参与人数 2魔法币 +25 收起 理由
    __Zq + 5 感谢你的分享,i春秋论坛有你更精彩!.
    rosectow + 20 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    KSTnT 发表于 2017-9-18 16:00
    额新汇众???XX???

    新汇众-  -很神奇么?或者你是和我在同一个窝里?
    使用道具 举报 回复
    wjycq 发表于 2017-9-18 14:21
    老铁 远程控制管理的 软件叫什么

    DarkComet-RAT
    使用道具 举报 回复
    发表于 2017-10-24 12:15:55
    看到WScript.Shell就有点不太理解了,但还是很棒的一篇文章,小J66666
    使用道具 举报 回复
    经典的内网渗透,顶!一个伙计国家队需要你这样的人才
    使用道具 举报 回复
    大佬 这个心太大了 不得不说一句 国家队需要你
    使用道具 举报 回复
    发表于 2017-9-13 10:41:29
    大表哥.抽空来一期橙色万象的渗透文章呗
    使用道具 举报 回复
    发表于 2017-9-13 10:09:15
    大表哥已经玩的有点大了
    使用道具 举报 回复
    发表于 2017-9-13 11:52:10
    O(∩_∩)O哈哈~,查查查水表啦
    使用道具 举报 回复
    走在街上的猪 i春秋-见习白帽 关注网络安全~没有女朋友~
    4#
    发表于 2017-9-13 12:37:40
    厉害了。。
    使用道具 举报 回复
    发表于 2017-9-13 15:15:04
    厉害厉害!表哥求带
    使用道具 举报 回复
    发表于 2017-9-13 15:35:52
    佩服! 关注你
    使用道具 举报 回复
    发表于 2017-9-13 15:47:24
    继续怼
    使用道具 举报 回复
    发表于 2017-9-14 12:11:36
    如果被抓到肯定会被打死的~~
    小白~~~
    使用道具 举报 回复
    发表于 2017-9-14 13:14:49
    666666666666666666666666
    用代码将梦想照进现实!
    使用道具 举报 回复
    发表于 2017-9-14 15:10:14

    佩服! 关注你
    使用道具 举报 回复
    发表于 2017-9-14 15:16:57
    大佬就是厉害
    使用道具 举报 回复
    发表于 2017-9-18 11:50:39
    贼强。。。
    使用道具 举报 回复
    发表于 2017-9-18 12:13:58
    膜拜,大鸟
    使用道具 举报 回复
    发表于 2017-9-18 12:52:59
    看得我的内心汹涌澎湃,久久不能平静
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册