现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
前言
本次主要是记录一次在EDU众测活动中,产生的一些渗透思路,各位看官,且听下面分解
降龙十八掌
在某次众测活动中,通过某小公司系统拿到了该系统的shell。
然后就开始了艰难的内网上线之路
本来刚开始拿到shell很开心的,终于可以扫内网了
结果现实给我重重来了一拳
我们的马落地秒
Powershell脚本无权限访问
结果一执行tasklist才发现
服务器有条狗和卡巴斯基
乾坤大挪移
这可把我弄傻了,卡巴斯基,咋个整?
本来想着用过360的进程迁移大法试试
Cs确实上线了,但是…
还没到60s
我进程还没迁移呢!!!
就死了!
不知什么原因(可能是卡巴斯基策略)
Powershell的脚本不能执行
所以只能通过exe来上线
但是exe的免杀我实在是菜菜
开始坐牢
故找了一堆公开的免杀项目
从C找到Python
又从Python找到Go最后找到Rust
结果都是同样
无法上线!
乌鸦坐飞机
在搞了快一天的时候
无聊又执行了一边tasklist
结果看到了一个神奇的exe
ToDesk!
突然想到能不能直接连上ToDesk进行上线呢?
说干就干
然后我看了自己电脑上的ToDesk,考虑可能密钥就在本地某个配置文件
果然ToDesk的密钥就在安装目录的config.ini下
但是密钥是加密过的,这又让我陷入难题了
遇事不决,百度一下!
然后发现早在去年,就已经有师傅通过ToDesk进行内网上线的操作了!
并且ToDesk每次启动都会去config.ini下面读取一遍密钥并解密显示在程序上
那是不是可以通过type把被攻陷主机的ToDesk的config.ini读取出来,拿到本地来解密呢?
说干就干!
通过执行
wmic process where name="ToDesk.exe" get processid,executablepath,name
获取到了Todesk的路径
再执行type进行读取config.ini的内容就可以拿到配置文件
在配置文件中clientid就是todesk的连接id
下面的tempAuthPassEx、authPassEx、passex就是加密后的密钥
将这3个被加密后的密钥拉到本地的config的tempAuthPassEx,然后打开todesk
就可以看到我们的临时密码已经变了
然后将这个密码拿去连接
连接成功,直接拿到运维权限!
接下来就是搭起隧道~
开始愉快的内网渗透~
黑虎掏心
信息收集后话:
1.拿到权限后,第一步就是先收集了一波信息。
结果大失所望
没有收集到比较有价值的信息
2.但是在桌面瞅到了QQ
随机开始联想
QQ会自动将图片和接收到文件都保存在QQ的默认路径下
那有没有可能
运维人员在和业主或者leader沟通的时候会传递什么敏感文件呢?
3.然后来到文档的路径直接开始直接搜索
*.jpg *.png *.txt *.doc *.xlx
搜了一波这些文件
然后出了意想不到的货
其他高校的堡垒机地址和账号密码
轻松拿下多个严重
最后也是再吐槽一下这次内网!
真是太恶心了!
全是罐子
简直是在罐子里面搭的内网!
每日祝福
祝师傅们,天天高危、日日0day!!!!!!!!!!!!!!!
广告时刻
欢 迎 加 入 星 球 !
威零安全,星球永久开放,内容包括:实战报告+hvv红蓝资料+代码审计+免杀+渗透学习资源+各种资料文档+直播课短期一年,后续将开发自己的红队工具库供大家使用。有需要的可以添加后台微信联系本人。
或者翻到文章末尾添加机器人进群考察。
星球的最近主题和星球内部工具一些展示
PY交易
为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流
由于“威零安全交流群”群聊人数已满200人,扫码进不了的师傅可以添加机器人secbot回复“威零科技”即可加入群聊
原文始发于微信公众号(威零安全实验室):记一次众测曲折的“内网上线”豪夺运维权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论