banner
毅种循环

毅种循环

请将那贻笑罪过以逐字吟咏 如对冰川投以游丝般倾诉

一个供应链突破案例

某护网行动,通过企查查收集到了该单位的招投标信息。
image
通过对该中标公司进行渗透测试,发现在其 IP 段里面存在一个 Confluence,刚好有漏洞的版本,随即拿下。

系统为 2008R2,X64
发现有 360 全家桶,权限 nt authority\network service。
image
这个权限限制的比较死,试了一下 360 有点铁,没绕过去,当时有点抽风,执行 exe 直接无回显了。
然后考虑提权上 3389 再说。

0x02#

翻目录的时候发现 todesk,利用 todesk 替换获得明文密码,连上去后发现管理员注销了。
image

不过当时发现存在 guest 用户,登录后考虑去提权,想的是使用 1388 去提权,但是好像 guest 没有基础 system 的权限,利用失败了,IE 没弹出来。
image
使用 bypassUAC 也失败了,找不到白名单的程序,猜测应该还是和 guest 有关。
用 guest 权限去本地提权基本上全拉砸。

最终发现该机器存在 sqlps,在 webshell 中使用 sqlps 执行命令以 network service 权限上线到 CS 中。
image

在 CS 中用土豆提权成功,这个土豆模块此处有一个坑,权限处于薛定谔状态。
image
此处出现了一个状况,就是去导密码的时候提示我不是管理员用户,CS 明确了权限为 system。
image

查看 CS 会话的时候发现还是原来的网络权限。
image

后来使用进程注入重新注入了一个 system 的进程权限。
image

然后使用 mimikatz 导出密码。
image

获得密码之后不做代理了,直接用 todesk 登录该用户。
image

我宣布,我才是最后的赢家,办法总比困难多。

内网#

内网就简单了,收集了一下本机的信息,在知识库也翻到了想要的东西。
image

同时在项目开发进度文档中获得了直连该单位的 VPN 账号密码。
image
堡垒机权限
image

结束,没啥特别的亮点。

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。