据了解,该web服务器(10.1.1.178)上 C:\consle存储有银行的关键敏感数据。

废话不多说,既然目标明确了,那就直接上nmap扫一波。结果显示该Web服务器存在cve-2012-0152(Microsoft Windows Server RDP拒绝服务漏洞 )、cve-2012-0002(Microsoft远程桌面协议RDP远程代码执行),由于内网无法访问外网,所以也没有趁手的兵器(EXP)来日它。
记一次内网渗透(Web服务器) Safe 第1张
记一次内网渗透(Web服务器) Safe 第2张

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

既然暂时无法对上述漏洞进行利用,那就访问一下该Web网站,寻找突破口。不出意料,在该网站找到了一个文件上传点。翻看页面源码,发现该上传对文件大小以及类型作了限制。
记一次内网渗透(Web服务器) Safe 第3张
记一次内网渗透(Web服务器) Safe 第4张

这时候就该放出我们的老朋友Burp了,修改一句话木马的后缀名成jpg并上传,然后通过burp抓包,将文件名改成php。
记一次内网渗透(Web服务器) Safe 第5张
上传成功,成功访问一句话。下一步就是拿出菜....
记一次内网渗透(Web服务器) Safe 第6张
记一次内网渗透(Web服务器) Safe 第7张
根据提示,我们找到C:\console目录,却发现没有权限访问。看来只能远程到Web服务器上查看了。
记一次内网渗透(Web服务器) Safe 第8张
经过一系列的添加用户的操作,发现net localgroup administrator zero /add 这一命令无法执行成功。
记一次内网渗透(Web服务器) Safe 第9张
将zero添加进remote desktop users组后,却提示zero权限不足。(真是一波三折,)
记一次内网渗透(Web服务器) Safe 第10张

balabala...

在钻了很久牛角尖之后,我才醒悟过来。为何不看看原有的用户都在哪些用户组呢!!

记一次内网渗透(Web服务器) Safe 第11张

将新建用户添加进这个用户组
记一次内网渗透(Web服务器) Safe 第12张

通过远程桌面成功登录Web服务器
记一次内网渗透(Web服务器) Safe 第13张
成功获取vpn.txt文本中的user参数
记一次内网渗透(Web服务器) Safe 第14张

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄