过程曲折的红蓝对抗实战

文章确实不好写,可能过程耗时很久,最后发现几句话就概括了。

尽可能多写点细节给表哥们看看。

底层打工人的我比较忙。

1

环境介绍

目标环境:win2016

语言:jsp

框架:shiro

2

过程-打点

目标存在弱口令。

个人习惯使用google浏览器去进行测试。

登录目标后台后，找了半天没有发现明显的文件上传地方.

只有一个模版展示了图片，只有一个删除图片的按钮。

后台发现了orcale的注入,根据以往经验。getshell的可能性几乎为零。

继续寻找文件上传的地方。

发现模块除了图片展示,其余模块都正常,都可以操作。

3

峰回路转

看网站应该是老站，寻思是不是浏览器的问题。

拿出了IE进行操作。默认IE11。

发现图片展示的地方，可以进行文件上传。

但是上传没有发现图片路径。如下图:

这里非常浪费时间

经过不停的测试,换IE版本.习惯性的先IE11,然后IE7。

但是还是目标存储路径中,依旧未显示出路径。

尝试oracle注入

感觉无果后,就又去尝试了oracle注入的漏洞。

这里进行了文章查阅,google看文章花费了一上午时间。

命令执行方式:

DBMS_EXPORT_EXTENSION()

dbms_xmlquery.newcontext()

DBMS_JAVA_TEST.FUNCALL()

通过Oracle创建java函数执行shell命令

妙手回春—细心细心

实在没办法,想想还是那个文件上传如果突破就更靠谱了。又回头继续尝试。

一定要细心细心,多尝试一下。

在不停的换浏览器：360/火狐高低版本/qq浏览器等等。

接下来就是上传绕过了。

发现目标filename参数是前后端写死的白名单。

数据包:

下面filename=”1.png”,上面改成name=202203013123.jsp即可

1

信息收集

IP:193.168.1.0/24

杀软:360

域环境:不存在

存在账号:administrator/在线

2

cs上线

这里发现本地的免杀不行了，用平台做了一个临时免杀，半年没有更新，发现不是全部免杀了。

实战进行免杀的时候，不用较真全免杀，目标机器的杀软绕过就行。

3

横向

dump/mimitakz–hash传递–3389登录/添加用户等。

关于hash读取。这里有坑。感觉目标的360比我本地厉害多了。

这里测试了3个免杀dump。发现本地杀软/VT可以过,目标无法执行。没有任何反应，不明白原因。

猜测可能是api的问题.

4

useradd

还是不可以登录。这里直接放弃进行尝试用户添加。

这里发现问题,目标一定是开启了360晶核,拦截很强力。

exe上传不杀。直接exe -h 可以成功，添加用户没有响应。

这里测试了:

vbs版的用户添加。

ps的用户添加。

是net版本不对。

这里使用的是An0nySec 大佬公开的的C#

使用vs自己生成即可。

默认是.net4.7版本

5

关于sock5

工具一定要本地测试免杀再上传。

目标进行基本的扫描探测。发现不免杀。

然后cs掉线。nps隧道掉线。一下懵逼了。

幸好webshell还在,cs重新上线

但是nps隧道一直无法通信，文件也没有被杀。就是没有流量。

过程真真假假。

?????