HashMeow小组隶属于HashRun安全团队,擅长渗透实战
感谢HashMeow小组成员输出此文章
HashRun安全团队是由年轻白帽们自发组织的团队,致力于技术研究,旨在为网络安全贡献精英力量,在实战演练、大型渗透等项目中屡获佳绩;团队擅长APT技术、项目实施、入侵检测及响应、安服及线下值守、信安培训、竞赛指导、无线电、硬件DIY等
冰鞋马
https://xxxx.xxxx.gov.xx/xxxxxx/txxxxx11.jsp pass1024
Neo隧道 https://xxxx.xxxx.gov.xx//xxxxx/xxo.jsp 密码tenet
Fscan扫描结果第一次
内网当中存在大量的weblogic 外网的有洞那么内网的也一定有洞这里就一把梭了
这个3网段是在weblogic机器看见的网段 边界机器上只有2和22两个段
内网的全部weblogic 都是一把梭
Outlook
里面的outlook都没洞
HAL manager console存在弱口令
admin admin
这个是管理的jboss
内网的tomcat
http://192.168.2.217:8002http://192.168.2.197:8080http://192.168.3.140:8080 Tomcat/8.5.57http://192.168.52.17:8080 Tomcat/7.0.76http://192.168.8.58:8080http://192.168.52.15:8080 Tomcat/7.0.76http://192.168.52.141:8080 Tomcat/8.5.34http://192.168.2.222:8002 Tomcat/9.0.34
内网的tomcat 都是不存在弱口令和其他cve
Windows机器横向
Dc机器
192.168.2.4192.168.2.6192.168.2.8192.168.2.231192.168.3.135192.168.3.244192.168.3.246
在这里的时候一台windows机器都没拿下无法进行横向移动 但是这种内网环境存在ms17-010数量不多但是利用一台就能移动
192.168.2.245 Windows server2003系统存在ms17-010
这里先扫描一下看看 能不能执行命令
这里执行成功了 那就直接开打 对于这种老机器就用
exploit/windows/smb/ms17_010_psexec模块成功高一些
这就加载了kiwi来抓取密码但是这个kiwi需要进程迁移到x64的程序上才能执行
这里通过上面同样的办法拿下了10.255.1.53机器
这里发现两台机器的密码有些账户相同 配合crackmapexec来做hash值喷洒
这里遇到一个转折点就是 rdp上去的时候发现这个两个ip段 10和172那这就说明这个内网的机器能访问到这两个ip 直接fsca扫描
Fscan扫描结果
这个10段应该就是整个内网的东西了那攻击面就会继续扩大
这里通过密码喷洒发现了机器的hash值相同(忘记截图了)
这个10.255.1.52的机器是通过
brosangela:500:51562b88640b6a9ec0d0d3c272c7586c:9af7b20781f8dfffa46c691485fdf818
Hash密码!@mora24!@
这串hash进行传递的
10.255.1.52 的hash值这里有administrator账户和hash值
这里利用1.52机器的administrator账户继续密码喷洒
这个administrator的密码和1.52机器的密码是一样的
这里就喷洒到了域控机器
那我们就进行hash传递看是否能上线(这个内网存在赛门铁克设备)
这拿下了第一台域控机器 接下来就是继续喷洒拿下机器进行横向
这里将全部的hash抓出来这个域控算是完成了
这个192.168.3.244机器通过msf无法传递hash值所以只能进行rdp 而且无法出网也上不了mimikatz
192.168.3.135也是一样 基本上三网段的机器是没问题了就是无法解决怎么上到msf这个上面
这个内网也有vcenter但是没洞拿不下而且到这也天亮了不好继续打了
原文始发于微信公众号(HashRun安全团队):某国zf org的一次渗透(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论