1024节日快乐-看大佬使用Msf与IE打穿内网

大致拓扑

第一台:

扫描了一下是有ms17-010的,但怼的时候没有成功。先用8075端口通达OA命令执行漏洞进去看看:

后来ms17-010能怼了,正式开启msf之路。

原计划在meterpreter里面建立路由,横向渗透。但是涉及到端口转发,msf隧道就会断掉。

不过没有关系,在靶机里面装一个msf就行了。

Win7用户远程桌面保存了一个机器,但msf没有办法直接抓到远程桌面登录的密码。

第三台:

先使用ms17-010拿192.168.184.253:

到这里以后是可以继续跨网段横向的。之前好像是有两个机器,10.0.10.110和10.0.10.111,111开放了redis且未授权访问,原计划redis上传一个webshell上去,后来机器没了。110机器还没看,也没了。

第四台:

存在永恒之蓝,但msf没有x86的payload。

web开放了80,81,82端口。(auxiliary/scanner/portscan/tcp)

尝试iis直接上传

可以上传文件,但不知是我操作有瑕疵还是msf有瑕疵,上传的内容不是我自定义的payload,上传了一个asp的脚本,但是这个脚本执行的时候500错误。可以试试aspx。

再后来写都写不上去了。

再后来msf都打不开了

扫描一下目录(msf默认没有web目录的字典,需要自定义字典,但扫描起来感觉很憨批):

ewebeditor的后台进不去,网站后台没有密码。

构造一个本地上传的html。没传上去,看源码是样式id号不对,更换了几个样式ID也不好使。

尝试注入拿密码进后台:

and exists (select * from msysobjects)>0 判断数据库是access(加个单引号也行)

找了一下msf没有access数据库的相关脚本。

手工注入进后台吧。

网上找一个手注的教程:https://blog.csdn.net/u014029795/article/details/91071005

发现教程里面的环境和靶机一样????

http://192.168.184.123:81/Production/PRODUCT\_DETAIL.asp?id=1513 Union select 1,2,admin,4,5,6,7,8,9,10,11,12,13,14,password,16,17,18,19,20,21,22 from admin

爆密码进后台

进后台发现编辑器是灰色的。

上传文件改包还得用burp(这里也不能确定上传是否可行)。

以前没有burp的时候,使用nc改包上传,但这里也没有nc。

常规的access备份数据库功能和后台上传设置功能都没有。

82端口:

这里过滤了参数,一般来说使用cookie注入就行,但msf没法注,手工又不会(辉师傅硬磕这里磕进去了,牛逼)。

其他的和81端口的类似。Msf针对这类web系统几乎没什么模块可以用,敏感目录与文件也扫不出来。没上传点,没后台就告辞了有上传点我也改不了包。

打到这里呢,msf就受不了了,直接投降~

给TA买糖
共{{data.count}}人
人已赞赏
渗透测试

通过搭建内网web进行内网穿透

2022-9-8 12:20:01

Web安全渗透测试

桃子姐姐不为人知的一面之实战撸穿某果聊APP

2020-7-16 12:20:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索