给了7个IP地址

加载中

日常探测端口信息:

一度以为自己探测的姿势不对，反复调整还是只扫出这些来。

都是web服务:

日常找目录:

结合结合命名规律扫描最终找到以下有效率页面

http://x.x.x.xxx:8888/z1234/
http://x.x.x.xxx:20080/download/

z1234是一个报名页面,测试时已经过了报名日期,被停用,空有一个登陆页面。

download页面如下

日常反编译:

端口对得上,走http协议,挂着代理转换Web的方式进行测试。

很明显APP有签名机制，代码段如下:

跟着算法写脚本构造数据包,测试各类逻辑漏洞,代码忘记放哪个文件夹了...看最终成果:

amt参数是转账金额,转100就是参数值-100,对于的改成正数就就可以增加余额了...

按照系统机制这个金币可以直接兑换RMB或者买东西...

日常测试：

任意文件上传拿shell。

没有域,但是每台都有杀毒软件。(据说之前被某安检查出问题被罚过钱,就做了这个“防御”)

这个Hash没能解密成功。

有杀软添加账户不方便,没有账户密码的话跑起TV来也是黑屏。

有AV条件下添加用户可以参考https://xz.aliyun.com/t/4078, 有密码可以把端口转发到公网，也可以上传TeamViewer去远程连接,转发什么的都省了。

日常横向：

扫一个C段半小时。。。

这里最终打到一个03的服务器,激活Guest空口令登陆。

Windows server 2003默认允许空口令登陆。
AV会拦截添加/删除用户,修改密码的行为，但是不会拦截将已有用户添加至管理组。

如图,双网卡。

上传masscan探测两个段:

然后批量采集端口信息并分类：

选择相对核心的资产进行端口识别，寻找脆弱点。

同类资产扩散：

口令类也一样，找到一个就在扫出来的资产里面去撞，成功率很高。

拿到命令执行权限的都读读口令,同样的再拿去撞。

常见漏洞打一波(ms17010,st2,weblogic放序列化),未见过的核心的应用系统仔细测一测。

ms17010因为AV的原因大部分打不成功。(03的可以)

RDP:

SSH

MSSQL

MYSQL

MYSQL

作者：TheKingOfDuck  ，原文地址：https://xz.aliyun.com/t/6979

声明：本公众号所分享内容仅用于网安爱好者之间的技术讨论，禁止用于违法途径，所有渗透都需获取授权！否则需自行承担，本公众号及原作者不承担相应的后果.

学习更多渗透技能！供靶场练习技能