记一次大白哥靶场(360+阿里云盾)的渗透之旅

0x00前言

今天正无聊呢,看到大白哥发起了挑战

46922-ilz587s351.png

okey,直接来拿捏。

36153-22bzqvord1l.png

0x01正文

打开靶场一看是ASPCMS2.7.3好久没见这古老系统了

33405-k5utgt4u1rn.png
99052-pakcx3409je.png

原先打算先来发注入漏洞,但是发现此处似乎已经修复了(经过一番尝试,发现跟网络上文章中说的过滤不太一样

02724-ooix84ipxh.png

接着看下一处,这里直接去后台试试弱口令。

http://8.152.4.233:8083/admin_aspcms/login.asp

admin/admin123

成功进入后台

65797-bys61b516lb.png

然后就准备尝试以前的备份拿SHELL或者编辑模板那边的xxx.asp;html等若干拿shell方法。不过经过测试,这些地方在此靶场拿shell都存在一定问题,可能是被拦截了或者已经修复了。

那么没问题,回归平凡操作

尝试上传马

54497-25y48mi7l22.png

成功传shell(不是吧,这么轻松

56934-pi46gmv1ne.png
20860-buy7kk5kar.png

为了不引起杀软的响应,这里先看下都有什么杀软

15956-zsrqngwaz2.png

发现此机器存在360安全卫士和阿里云盾

40856-r4snj2ncnw.png

然后利用wh""o^a^m^i查看目前网站权限

87181-ggmbccxd1tw.png

ok,目前是个IIS低权限。接着就需要去切换aspx脚本进行下一步操作(因为aspx的权限比asp高,可以利用.NET框架的特性

58032-qamfb1uqxa.png

至于为什么要切换到哥斯拉呢,因为可以利用哥斯拉的shellcodeloader插件去注入shellcode到rundll32.exe。这样马上线的时候,进程链比较干净,执行敏感操作的时候不会被360查杀。

直接上线

05741-mwi08husz2l.png

上线后为了防止掉线注入到其他程序上

70060-01p43l1h12qx.png

接着用systeminfo查看系统信息,发现是win2012

53490-i7ktbsos6w.png

接着可以用补丁去辅助提权

03541-n37c0lzxtqp.png

这里我知道是win2012完直接用badpotato进行提权

98713-nr5krh4g68.png

okay,成功GET到system权限。

由于不能直接监听上线。这里传上我自写的bypass360马(稳定1个多月了

46519-7o0hla1cb8.png
65476-rtt1h54o4b.png

成功

49647-yfaj6qsng6s.png

最后在

C:\Users\Administrator\Documents

处获得flag

24148-0rhq2dpwh6t.png
35964-9vq4d0a7v8i.png

0x02结尾

小小360轻松拿下~~~

85903-mua1wdqf8fj.png