1. Ma4ter Blog首页
  2. 实战教程

对学校内网的一次渗透操作

[cump3 width=”100%” height=”100%” url=”https://m10.music.126.net/20190406162055/e8dfa05a5c1c33c15aec2ffd59414166/ymusic/27e6/ced0/0d59/e0d024ca25d80304aaa6f40d7d6a528a.mp3″ auto=”true” images=”/wp-content/plugins/cuplayerMp3/images/p01.jpg” ]Avril-Fly[/cump3]

0*01 信息探测

本篇文章是上次之后重新写的一篇 废话不多说 直接开始

经过我的混迹之后2333 我已经知道了学校网络的大概结构

如图

对学校内网的一次渗透操作

学校大概有3台服务器的样子 我准备从网站服务器入手

注:以下操作中敏感信息都做打码处理 仅供技术交流 (博主后来与学校管理员熟了 所以差不多也是一次友情检测)

0*02 网站渗透

网站进去是这样的

对学校内网的一次渗透操作

有几个这玩意 不知道能不能利用

对学校内网的一次渗透操作

模板还挺好看的 站开了伪静态

yunsee一下对学校内网的一次渗透操作

emmm好吧php的 指纹没识别出来 可能不是什么主流的cms  看了一下 没什么明显可以利用的地方

开启御剑扫一下

对学校内网的一次渗透操作

扫到了这3个玩意

guestbook是校长信箱 估计几年也没人管 不能利用了

对学校内网的一次渗透操作

upload显示帐号密码错误

对学校内网的一次渗透操作

很奇怪不是显示未登录 后台登录界面是这个样的

对学校内网的一次渗透操作

五车科技是啥玩意,,,没听说过

百度了一下 是个做网站的公司对学校内网的一次渗透操作

不过估计这程序不是他自己开发的 最多改了下模板之类的

管他的 admin就是一顿操作 额不过,,,

对学校内网的一次渗透操作

运气还不是太好 于是就想放弃对站的“渗透”了2333 想起最开始的那三个页面

不过打开之后都是一个ip:端口 对学校内网的一次渗透操作

拒绝请求说明是端口没开 但是IP是活的 然后这应该就是服务器的专用ip了 访问一波 爆了路径(说明一下 上次爆路径后我就通知管理员修复了)发现了phpmyadmin

对学校内网的一次渗透操作

对学校内网的一次渗透操作

root root一顿操作后。。。

对学校内网的一次渗透操作

这是什么???这狗屎运气 phpstudy害人不浅啊

然后就是利用general log getshell了

对学校内网的一次渗透操作

把状态改为ON 然后general log file填写shell的绝对路径 sql查询一下

SELECT ""

一句话就到手了 具体方法可以百度一下phpMyAdmin新姿势getshell

祭大杀器菜刀对学校内网的一次渗透操作

接下来我想提权了

0*03 服务器提权

先收集一下基本信息把

对学校内网的一次渗透操作 对学校内网的一次渗透操作 对学校内网的一次渗透操作

what???直接就是system?

然后正当我net user的时候

对学校内网的一次渗透操作

对学校内网的一次渗透操作

哇,,,我无fu。ck说 自从上次学校网站被别人搞了之后 管理员就装了360和狗

所以,,,exp提权当然是别想的了 只怪我太菜 不会做免杀- –

接下来我的思路是dump出管理员密码 详情阔以看下这篇文章:
  一次实战渗透过程中的知识点总结

procdump下载地址:  procdump下载

32位和64位的都有
成功上传 并且没被杀掉

对学校内网的一次渗透操作

使用命令

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

就阔以dump出内存了

对学校内网的一次渗透操作 对学校内网的一次渗透操作

然后下载到本地用mimikatz读取

执行命令

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

即可读出密码 不过我不知道为啥放电脑上面执行出错

对学校内网的一次渗透操作

只能放在服务器上面执行了

OKdump出来密码了

对学校内网的一次渗透操作

看一下3389的端口

对学校内网的一次渗透操作 对学校内网的一次渗透操作

正当我开心的去连接的时候……

对学校内网的一次渗透操作

可能是端口映射的问题了,,,

之前找到了学校的网关web后台

对学校内网的一次渗透操作

参照这篇文章映射下端口:http://www.i5i6.net/post/215.html

但是遇到了一些问题,,,仍然不能远程连接

然后就只能用ngrok.exe穿透内网了 详情https://ma4ter.cn/134.html

但是我上传ngrok.exe的时候一直上传不成功 难道是被360杀了?

于是上传了杀毒网检测一波

对学校内网的一次渗透操作

只有一个引擎报毒,突然就想到PHP上传限制  果然。。。

对学校内网的一次渗透操作

ngrok大小是30m 压缩以后也有10几M 所以一直传不上去

然后我就想到了文件下载这个功能,,把ngrok放在站上面然后让他去下载会怎么样呢

对学校内网的一次渗透操作

然后就,,对学校内网的一次渗透操作 对学校内网的一次渗透操作

极度兴奋o(* ̄▽ ̄*)ブ

对学校内网的一次渗透操作

看到failed以为360给我杀了 但是看到后台

对学校内网的一次渗透操作

3389连接

对学校内网的一次渗透操作

bingo!万恶的360- – 服务器提到手 现在我们就阔以到内网漫游了

0*04 内网漫游

后面有空继续更 希望各位dalao支持本菜

本文章仅供技术交流 持续更新

本文为ma4ter原创文章 禁止未授权转载

原创文章,作者:Ma4ter,如若转载,请注明出处:https://ma4ter.cn/134.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(3条)