xx市学校食堂原辅材料统一配送管理系统

2023.8月合法授权进行渗透测试，现已修复

外网

后台发现后直接就是一个弱口令

admin/7654321

测试后发现公告处存在任意文件上传

上传一个jsp

冰蝎连接后直接拿下

内网

接着进行当前主机的信息收集

软件：火绒，todesk，360浏览器等
OS：Microsoft Windows Server 2016 Standard
网段：10.77.0.0/24

远程连接

看到目标安装了todesk后就突发奇想，想着能不能连接上看看

这里用的方法是上传todesk+nircmd实现远程连接

Todesk精简版：https://dl.todesk.com/windows/ToDesk_Lite.exe
Nircmd: http://www.nirsoft.net/utils/nircmd.html

---

正常情况应该是运行ToDesk_Lite.exe后截图可以直接看到密码，如下图

---

但是当时的情况是上传完后截图发现有一个弹窗

截图命令 nircmd.exe savescreenshot D:\2.png

比todesk的优先级高，这样会看不到窗口程序，所以需要先杀掉弹窗

tasklist查看，得到进程名称MusNotificationUx.exe
杀进程：taskkill /IM "MusNotificationUx.exe"

如果还有其他窗口，可以使用vbs命令清空

Dim objSHA
Set objSHA = CreateObject("Shell.Application")
objSHA.ToggleDesktop
Set objSHA = Nothing

且火绒不允许创建vbs文件，可以用系统自带的certutil实现bypass
certutil -encode 1.vbs 1.txt
certutil -decode 1.txt 1.vbs

---

清空后再次运行并截图

因为运行的是系统本身安装的todesk，而不是精简版，所以还需要获取连接密码

可以找到config.ini文件中的hash，复制到本地，在本地启动todesk拿到密码

至此实现todesk连接

横向移动

就不详细放图了，都是同一网段的

AVA互动管理软件x1
HDMx1
Grandstream GXP1610 企业ip电话管理x4
海康威视摄像头x2
VBC网络核心智能管理系统x1
h3c设备x1
主机getshellx3