请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
正文开始
本次讲讲今年参与(打穿)的一次案例思路(厚码还请同行们谅解)
资产拿到后直接看*****公司,拿捏软柿子
在某一个公司的.net站点下(其实个人认为net站还是有爆破弱口令的意义的,后台一旦有sql注入拿shell会更方便一些)
登录用4位编号+123456爆破出了一个,进后台找一波sql注入,运气也比较不错,绕过一下他们的防护得到了一个os-shell的机会
测试了一下,总结为不出网有回显,那就直接写入webshell
https://xxxxxx/Content/images/223.aspx
访问跳转302,需要登录,那就在工具头部添加cookie信息,同时配置了正向代理
进入内网之后做了权限维持+横向(基础操作我们就不细讲了),定位了几个域控和重要设备的信息
x.x.x.99 [+]DC
x.x.x.89 [+]DC
x.x.x.237 [+]DC
x.x.x.10 [+]DC
x.x.x.41 [+]DC
https://x.x.x.101/ vc
https://x.x.x.3:8443/ 亚某安全web
http://x.x.x.214:8000/xdashboard/login/ 某服云迁移平台
http://x.x.x.100:5000/ 某晖
https://x.x.x.71/portal/ui/login 综合某防
https://x.x.x.209/login.html 某御网关
https://x.x.x.103/login 某融合
内网靠着弱口令、口令复用和ms17-010把这一块的分先刷满,这时候手里已经有一部分的资产了,其中包括了一个低权限的域账户(但是没什么用,我一般不直接打ZeroLogin,万不得已才去做)。然后就是漫长的信息收集过程,其中包括了获取历史连接记录,密码、OA内部、邮箱内部信息收集,然后总结密码规律制作密码字典。
最后从一个数据库的弱口令打到了重要突破,他开了一个非常见的sqlserver端口sa/(规则口令),用于测试
x.x.x.16 sa/(包含公司名和ip@2020)
绕过某数字杀软执行命令之后,列目录时候惊奇的发现是一台个人pc机器,同时还是一个运维人员,不得不感叹这个人心真的大
直接一套操作下去,翻出了他的密码本,虽然有很多密码已经过期了,但是还是直接拿到了挺多重要的设备,VC、子域控、安全设备、VPN、某康卫视也已经拿下。
某御态势感知和防病毒
某服安全设备
zabbix
同时在堡垒机这块成功突破了网络隔离,从业务区跨越到了生产网络,这边忘记提了,内网做过限制,域控只能是堡垒机来连接,导出域账户统计下个数345,分满了就不拿主域控了。
堡垒机跨越到了一个特殊的段,虽然都是192.168.1.1/16下面,但是他可能是对192.186.66.1/24做了隔离,单单这一个段放的全是重要设备和重要系统,这个段都只能堡垒机连接
某御堡垒机
于是再重复了一次信息收集。。。
好在他们对核心网段比较信任,弱口令和普遍的漏洞比较多也没什么别的防护,轻松拿到了部分核心生产的设备xx阀系统。
最后也拿到了某晖的权限,翻了一堆红头文件和xx机密文件,眼睛都要花了也没有其他工控了orz..
这次总计打了22000分左右,可以说是全拉满了,刚好满足2w出局的分,也不知道为啥这次出局分这么高。
最后第一天就报送这家单位出局了(倒霉蛋运维要遭难咯)
原文始发于微信公众号(凯撒安全实验室):红队攻防之某集团企业复盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论