它是 酒仙桥六号军队 的第 149 一篇文章。

近期都是在做网站渗透测试新项目，并不一定内网渗透，少了许多的满足感。因此，找了一个受权的公司新项目，总体目标是获取内部网关键权限，方式不限。这就行讲了，就爱这类能要我随意来的总体目标。

针对公司来讲，撒落在外面的财产毫无疑问也有许多，因此为了更好地迅速打线，先开展一波基本的信息收集。先开展了二级域名工程爆破、fofa、Google等方法寻找好几个子域名，根据在其中一个子域名反查找IP，在历史时间分析纪录中找到真正的IP，再再次开展C段端口扫描器，搜集到好几个财产目录。丢入XRAY跑一波，在这其中的一个财产中，发现了存有shiro反编码序列话系统漏洞，手工制作来测试一下：

github上找一个了专用工具尝试一下，发现能够运行命令：

查询了一下过程后，发现web是以jar包运行的，没法立即载入shell，立即尝试写运行内存shell：

取得成功载入了蚁剑的shell，先当地配备一下，并设定Accept-Header为:thisIsMyJob!@

设定好后立即联接，获取webshell：

翻阅了一下这台linux上的文档，因为linux权限不足，没法查询shadow，尝试提权也均失败了，查看全部指令、任务计划等，仍未有哪些获得。只有免费下载jar包出来剖析，找到mysql数据库查询的配备登陆密码。因此先检测一下内部网，看可否迅速的取得别的服务器的权限，不好再从数据库查询下手看一下。

因而，先干了个代理，配备一下frp，先提交手机客户端到web上，改动了一下frpc.ini文件，应用sock代理：

自身的VPS提交服务器端，改动一下权限，立即实行 -c frps.ini：

随后返回手机客户端实行一下 -c frpc.ini，就可以应用。

当地应用proxifier代理一下：

先应用弱口令工程爆破专用工具工程爆破一波看一下，果真有点东西，找到两部linux弱口令：

再次翻文档，還是一无所获，消耗了许多時间。很有可能关键业务流程没有linux上，尝试一下可否获取一个windows权限。先试一下ms17-010系统漏洞，老先生成一个木马病毒：

上传入web上，当地msf监视一下：

在web的cmd下给linux.elf加上实行权限后立即运作，就可以获取到meterpreter。随后再加上一下路由器：

应用17-010扫描仪控制模块跑一下：

未扫出来一切系统漏洞，猜疑是否哪有难题，当地代理用专用工具再跑一次：

的确不会有，这补丁下载的确都打过，白累成狗了一场。想起以前也有个数据库查询的联接串还没有运用，很有可能还有点儿赚头。因为以前代理过去了，立即应用navicat数据库连接，查询一下mysql版本号是5.7：

因为secure-file-priv的存有，没法尝试提权。nmap扫描仪了一下数据库查询的ip详细地址，发现8090端口号还存有一个php系统软件，网络服务器是server。因此先查看一下mysql的数据库查询文件路径，发现并不是phpstudy或是wamp等手机软件一键构建的：可要想获取shell，前提条件要获得web途径，才可以载入木马病毒，根据web出错网页页面、文件目录扫描仪都未获取到。因此逐渐尝试一下IIS的默认设置途径c:Inetpubwwwroot，载入后浏览不上。想起mysql是放到d盘下，因而尝试d盘的d:www、d:Inetpubwwwroot、d:data等途径，都没浏览到，最后顺手测了下d:web，竟取得成功载入。根据mysql慢日志写shell全过程以下：

因为存有杀毒软件，一般的一句话木马立即被杀，因而再次载入一个冰蝎的马：

载入后立即浏览t.php，再次转化成.1.php的冰蝎马，立即联接：

查询一下系统软件权限，有点儿低：

查询一下ip详细地址：

因为是该台网络服务器server2012，没法立即获取windows登陆密码，且存有海外某某某高新科技的杀毒软件，现有的提权专用工具都被杀了，技术性不好绕但是，還是换一个构思。

因此，逐渐翻查文档，看是不是会出现比较敏感信息内容。在网络服务器上发现好几套源代码，在这其中的一个文档里发现了配备信息内容：

尝试数据库连接，不成功！！

根据这搜集到的登陆密码，再制成密码库，逐渐工程爆破C段的RDP、mysql、sqlserver、ftp等服务项目：

工程爆破后，发现是当今网络服务器的administrator登陆密码，根据以前的端口号信息收集发现对外开放了3389端口号，能够远程登陆。

還是再次开展信息收集，查询当今网络服务器是不是域内设备，若存有域就相对性好许多。实行:

发现是存有域的。查询一下域控设备：

获取一下域控的IP地址：

现阶段了解当今的设备在域内，并拥有网络服务器的管理人员权限。能够尝试根据导出来hash的方法获取域账号信息内容，再开展PTH。因而，立即远程桌面连接，鼠标右键导出来lsass.exe过程的dump文档，再提交脱壳破解的mimikatz开展载入，但最后载入不成功：

来看只有根据别的方式了，想到到不久前曝出的NetLogon权限提高系统漏洞，能够尝试一下，终究時间过得没多久，很有可能都还没修复漏洞。

应用github上的找到的脚本制作尝试一下，先认证是不是存有系统漏洞：

回到success，表明存有系统漏洞。

应用cve-2020-1472-exploit.py将设备帐户重设：

应用DCSync导出来域内全部客户凭证：

根据wmic开展pass the hash，可取得域控制器中的管理人员权限：

到此，早已取得关键权限了，截了个图，赶快修复一下设备账户的登陆密码，要不然脱域难题就变大。

插装式出SAM数据文件，免费下载回家后，还记得删掉：

根据sam等文档得到原ntlm hash：

根据获取到的$MACHINE.ACC帐户的hash，开展修复：

此次的渗入，主要是根据外网地址的shiro系统漏洞提交运行内存马，迅速打线，为此做起点、跳板进到内部网。再根据源代码获取数据库查询环境变量，尝试获取到数据库查询网络服务器的一般权限后，再次信息收集，获取到当地管理人员权限，发现网络服务器在域内，且存有NetLogon系统漏洞，自此取得成功获取域控。