某护网行动,通过企查查收集到了该单位的招投标信息。

image

通过对该中标公司进行渗透测试,发现在其IP段里面存在一个Confluence,刚好有漏洞的版本,随即拿下。

系统为2008R2,X64

发现有360全家桶,权限nt authority\network service。

image

这个权限限制的比较死,试了一下360有点铁,没绕过去,当时有点抽风,执行exe直接无回显了。

然后考虑提权上3389再说。

0x02

翻目录的时候发现todesk,利用todesk替换获得明文密码,连上去后发现管理员注销了。

1664260439608_234FFEBD-FC01-49af-AD73-9DD940DEDC63

不过当时发现存在guest用户,登录后考虑去提权,想的是使用1388去提权,但是好像guest没有基础system的权限,利用失败了,IE没弹出来。

image

使用bypassUAC也失败了,找不到白名单的程序,猜测应该还是和guest有关。

用guest权限去本地提权基本上全拉砸。

最终发现该机器存在sqlps,在webshell中使用sqlps执行命令以network service权限上线到CS中。

image

在CS中用土豆提权成功,这个土豆模块此处有一个坑,权限处于薛定谔状态。

image

此处出现了一个状况,就是去导密码的时候提示我不是管理员用户,CS明确了权限为system。

image

查看CS会话的时候发现还是原来的网络权限。

image

后来使用进程注入重新注入了一个system的进程权限。

image

然后使用mimikatz导出密码。

image

获得密码之后不做代理了,直接用todesk登录该用户。

image

我宣布,我才是最后的赢家,办法总比困难多。

内网

内网就简单了,收集了一下本机的信息,在知识库也翻到了想要的东西。

image

同时在项目开发进度文档中获得了直连该单位的VPN账号密码。

image

堡垒机权限

image

结束,没啥特别的亮点。