專注APT攻擊與防御
https://micropoor.blogspot.com/
任務(wù)背景:
需要得知周某某的今年采購的其中一個項(xiàng)目具體信息,目前已知該成員是xxx電網(wǎng)。負(fù)責(zé)豐滿大壩的采購人員。
整體思路如下:
找到開發(fā)公司,得到源碼,審計問題,得到shell,拿到服務(wù)器,得到域控(或者終端管理)。得到個人機(jī)。下載任務(wù)文件。
得知該電網(wǎng)公司電網(wǎng)相關(guān)網(wǎng)站是某公司出品,得到某公司對外宣傳網(wǎng)站,并且得到該公司服務(wù)器權(quán)限,下載源碼模板。
源碼審計:
全局共計2個主要文件,分別是Func
on.asp,Startup.asp
后臺驗(yàn)證項(xiàng):
Function.asp
來源驗(yàn)證:
注入驗(yàn)證:
(目標(biāo)服務(wù)器waf,遂放棄)
錯誤處理:
XSS字符處理:
直接輸入admin/下文件名處理:
目錄生成:針對iis6以及iis7 php版本
Startup.asp
配置文件:當(dāng)不可以執(zhí)行的時候,是否可以備份出數(shù)據(jù)庫,以便下載。
關(guān)于新聞顯示,全局incude head.asp
其中check_si.asp 主要為防止注入
Get注入
Post 注入 新版本中加入post注入
過程中遇到服務(wù)器卡頓現(xiàn)象,也就是不清楚列名數(shù),本地二分法測試如下:
在admin 目錄下有個database.asp文件
目標(biāo)測試:
根據(jù)以上信息,構(gòu)造referrer,構(gòu)造參數(shù),禁止js。產(chǎn)生出越權(quán)漏洞。
根據(jù)越權(quán)漏洞,繼續(xù)看upload.asp文件,允許匿名上傳圖片文件。在根據(jù)越權(quán)漏洞備份出
webshell文件
82:
得到webshell
對方?jīng)]有開啟遠(yuǎn)程桌面:
開啟:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD
/d 00000000 /f
通過該服務(wù)器得到mssql 數(shù)據(jù)庫。得到終端管理權(quán)限。
查看在線機(jī)器,查找目標(biāo)人物。
推送payload 反彈。
確定是否為目標(biāo)人物:采購員 桌面截圖
按照任務(wù) 取得該人員的其中一個xls文件
任務(wù)完成。
Micropoor