实战 | 浅谈省护红队的经历

admin 2024年4月17日13:35:24评论11 views字数 1326阅读4分25秒阅读模式

前言

0x01 一个出局的企业单位内网之旅

打点一

故事的开始是某佬丢了一个系统nday shell给我

实战 | 浅谈省护红队的经历

ipconfig发现有10段内网,这种网段内网一般都很大

实战 | 浅谈省护红队的经历

但是这种nday已经被别人扫烂了 目录全是马

实战 | 浅谈省护红队的经历

发现不对劲,这是什么?!哪位不知名黑客昨天传的fscan

实战 | 浅谈省护红队的经历

但是目标单位还没出局 先打再说
准备cs上线 但是发现不出网

实战 | 浅谈省护红队的经历

先在哥斯拉传fcsan命令执行扫了一下b段

(应该先noping稍微扫一下c段再拿一台机器留后路在搞,这次做的有问题,不然流量检测设备检测到了,然后关站就直接寄了)
一堆弱口令➕redis

实战 | 浅谈省护红队的经历

Neo-reGeorg使用

使用Neo-reGeorg正向隧道工具把流量代理出来:

Neo-reGeorg是常见的http正向隧道工具,是reGeorg的升级版,增加了内容加密、请求头定制、响应码定制等等一些特性

python3 neoreg.py generate -k xxx --file 404.html --httpcode 404

生成一个webshell密码为xxx

比较有意思的是,工具新增的404模版功能,实战copy目标站点的404html,给到工具之后生成的webshell直接访问是404,对文件隐藏有很好的帮助

实战 | 浅谈省护红队的经历

上传至目标站点

实战 | 浅谈省护红队的经历
python3 neoreg.py -k xxx -u http://xxxxx.com/404.php -p 端口

实战 | 浅谈省护红队的经历
本地Proxifier配置代理:SOCKS5://127.0.0.1:1081

实战 | 浅谈省护红队的经历
刚访问了一个web站点看看通不通 加载了一个title
都准备开始截图写报告了
结果又不动了 我以为是代理的问题

实战 | 浅谈省护红队的经历

结果发现目标站关了。。。。
(感觉应该是昨天穿fscan的师傅打完内网交报告了然后企业直接关站了)
陷入困境 看着这么多的弱口令却触摸不到 太可惜了

实战 | 浅谈省护红队的经历

打点二

去找该企业子域和其他资产再找突破口
找到了一个边缘资产的登录框
注册功能接口被换成了弹窗
实战 | 浅谈省护红队的经历
试了着跑了一下注册功能字典 无果
发现他们登录的url是sys_login.aspx
我们构造一个sys_register sys_reg sys_zc.aspx去试试
果不其然 可是。。。

实战 | 浅谈省护红队的经历
但是这次翻F12看js文件就不一样了

实战 | 浅谈省护红队的经历
构造请求成功注册了一个账号 并且发现了一个敏感参数

实战 | 浅谈省护红队的经历
role修改为1 成功注册一个管理员账户

.net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell了

实战 | 浅谈省护红队的经历

哥斯拉连接 发现这台机器居然是出网的!

实战 | 浅谈省护红队的经历

因为fscan默认是不支持扫rdp弱口令的

一般是用fscan扫开放3389的机器,然后导出到超级弱口令等软件进行爆破,但是这样会由于fscan扫描不全漏掉一些机器,笔者建议最好上传nmap编译版或者一些专业扫描工具去探测。
最后也是拿下几十台主机权限,内网沦陷~(可惜没有双网卡)

实战 | 浅谈省护红队的经历

内网渗透没有域的话,个人觉得就是慢慢磨,收集密码喷洒,再收集再喷 横向(免杀也很重要)~

文章来源: https://forum.butian.net/share/2528文章作者:ekkoo如有侵权请您联系我们,我们会进行删除并致歉

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权


原文始发于微信公众号(渗透安全团队):实战 | 浅谈省护红队的经历

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月17日13:35:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 浅谈省护红队的经历http://cn-sec.com/archives/2666380.html

发表评论

匿名网友 填写信息