内网渗透实战：绕过防护获取服务器权限

1. 信息收集阶段

1.1 基础信息收集

• IP探测：使用超级ping工具获取网站真实IP
• 端口扫描：利用FOFA Pro View插件快速扫描开放端口
• 技术栈识别：使用Wappalyzer插件识别网站中间件和框架（本例中识别为ASP.NET）

1.2 目录扫描

• 使用目录扫描工具发现后台管理页面
• 尝试弱口令登录，发现系统会校验用户名但不限制尝试次数
• 使用Burp Suite配合大字典进行爆破攻击（本例中未成功）

1.3 漏洞扫描

• 使用xray高级版进行自动化扫描（基础爬虫+扫描）
• 手动测试目录遍历漏洞：
  • 找到网站中的图片
  • 右键复制图片地址
  • 分析相关路径结构
  • 尝试访问上级目录

2. 漏洞利用阶段

2.1 Ueditor漏洞利用

• 发现Ueditor组件（ASP.NET版本）
• 参考漏洞文章：Ueditor .NET漏洞分析
• 构造HTML上传界面
• 制作图片马：

  copy 1.jpg/b + 1.aspx/a 2.jpg
  

• 上传图片马并使用截断技巧：

  http://myweb.com/1.jpg?.aspx
  

• 成功获取Webshell（使用中国菜刀连接）

3. 权限提升阶段

3.1 初始权限分析

• 执行ipconfig发现处于内网环境
• 执行systeminfo发现系统为Windows Server 2012，已安装8个补丁
• 使用在线EXP对比工具：Hacking8提权辅助

3.2 提权尝试

1. 烂土豆提权：

   • 初始上传失败，发现所有目录不可写
   • 写入ASPX查询脚本，查找可读写目录
   • 上传预编译出错的shell绕过限制
   • 最终成功上传烂土豆EXP并提权至SYSTEM权限

2. 杀软绕过：

   • 发现火绒杀毒软件运行
   • 尝试结束杀毒进程（未成功）
   • 尝试使用mimikatz读取密码：
     • 使用procdump导出lsass.dmp：

       procdump64.exe -accepteula -ma lsass.exe lsass.dmp
       

     • 使用mimikatz分析：

       mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
       

   • 最终通过其他方法绕过防护，成功添加管理员账户

4. 内网穿透与远程访问

4.1 端口发现

• 使用netstat -ano发现33890端口（类似RDP的3389）
• 使用tasklist -svc查看系统进程，确认端口对应服务

4.2 内网穿透

• 使用Proxifier + reGeorg组合进行内网穿透
• 参考文档：reGeorg使用指南

4.3 远程桌面访问

• 成功添加管理员账户：

  net user abc abc /add
  net localgroup administrators abc /add
  

• 通过内网穿透访问远程桌面

5. 工具与资源总结

1. 信息收集工具：

   • FOFA Pro View（端口扫描）
   • Wappalyzer（技术栈识别）
   • xray（自动化漏洞扫描）

2. 漏洞利用工具：

   • Ueditor漏洞利用POC
   • 中国菜刀（Webshell管理）
   • 烂土豆提权工具

3. 权限维持工具：

   • mimikatz（凭证提取）
   • procdump（内存dump）

4. 内网穿透工具：

   • Proxifier
   • reGeorg

5. 实用资源：

   • Hacking8提权辅助平台
   • Freebuf安全文章

6. 经验总结

1. 信息收集至关重要：浏览器插件可以极大提高效率
2. 问题解决思路：遇到问题先自行研究，加深理解和记忆
3. 工具收集：平时积累各种实用工具和资源
4. 经验总结：记录每次渗透的收获和教训，形成自己的方法论

7. 防御建议

1. Ueditor防护：

   • 及时更新Ueditor组件
   • 限制上传文件类型
   • 禁用危险的上传功能

2. 权限控制：

   • 遵循最小权限原则
   • 定期审计账户权限

3. 杀毒防护：

   • 保持杀毒软件更新
   • 配置适当的防护规则

4. 日志监控：

   • 监控异常登录行为
   • 分析可疑的进程创建

5. 内网隔离：

   • 实施网络分段
   • 限制内网服务的暴露范围