一次 Shiro 到内网漫游横向渗透

  • A+
所属分类:安全文章

前言


首先是通过 Shiro 拿到了一台 root:

一次 Shiro 到内网漫游横向渗透
通过 InScan 看了看内网发现还挺大:

一次 Shiro 到内网漫游横向渗透

由于当前跳板是出网机器,可以直接通过 wget 下载 frp 到本地:

一次 Shiro 到内网漫游横向渗透

随即通过 socks5 代理把他内网流量代理出来:

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

然后反弹了一个 shell 到 msf:(为了方便后续操作)

一次 Shiro 到内网漫游横向渗透


横向渗透


通过 Inscan 对内网的 WEB 进行探测找到了一个 tomcat 弱口令,通过部署 war 包拿到了 webshell:

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

通过 tasklist /svc 发现有 360 全家桶:

一次 Shiro 到内网漫游横向渗透
随后上传了一个冰蝎马:

一次 Shiro 到内网漫游横向渗透

通过实验室的小伙伴做了免杀上线到 CobaltStrike:

一次 Shiro 到内网漫游横向渗透

通过 mimikatz 成功抓到 administrator 密码和其他用户的 hash:

WIN-xxxx6V5B45TAdministrator [email protected]WIN-xxxx6V5B45Txxxx xxxx828302eee5d159a17ce186b0dbf1WIN-xxxx6V5B45TAdministrator xxxx828302eee5d159a17ce186b0dbf1WIN-xxxx6V5B45Txxxxis [email protected]WIN-xxxx6V5B45TAdministrator xxxx8c1e2a750d98cff13ef32e0a1ce0

随即通过添加了一个超级管理员用户 asp.net :qwe123.. 方便进远程桌面:

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

随即克隆了一个 administrator 用户到当前用户:

一次 Shiro 到内网漫游横向渗透

之后通过 Inscan 扫描出来一台 Mssql 弱口令成功登陆到该数据库:

一次 Shiro 到内网漫游横向渗透

经尝试 xp_cmdshell、sp_oacreatesp_oamethod ... 等等都不能利用:

一次 Shiro 到内网漫游横向渗透
到这里的时候回头看 Inscan 扫描结果,发现有几台 Redis 未授权:

Redis:x.xx.10.43:6379 Redis:x.xx.10.102:6379 Redis:x.xx.10.96:6379 

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

针对于 Linux 的 Redis 可以直接写计划任务反弹 Shell:

一次 Shiro 到内网漫游横向渗透

随后 VPS 监听得到 Shell:

一次 Shiro 到内网漫游横向渗透

这是一种方式,还可以通过写公钥直接登陆!首先是在本地生成了一个公钥:

一次 Shiro 到内网漫游横向渗透
然后吧公钥写进计划任务里:(记得要加两个 n )

set x "nnssh-rsa 这里是你的公钥nn"config set dir /root/.ssh/config set dbfilename authorized_keyssave

一次 Shiro 到内网漫游横向渗透

然后本机 VPS 就可以直接连接它的那台 redis 机器:

一次 Shiro 到内网漫游横向渗透

之后通过分析这台机器的管理员的习惯,发现了他的密码:

一次 Shiro 到内网漫游横向渗透

通过此密码成功横向拿到 x.xx.10.102 的 root :

一次 Shiro 到内网漫游横向渗透

之后通过 inScan 扫描四个网段的大 B 段:x.xx.1.1/16、xx.x.0.0/16,192.168.1.1/16,172.16.1.1/16 发现有很多存活主机:

一次 Shiro 到内网漫游横向渗透

等待了一天后,第二天发现已经扫描完毕:

一次 Shiro 到内网漫游横向渗透

由于那台跳板机器没有 chrome 浏览器,所以没能截图:

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

通过 InScan 扫描出来的 MS17010  成功拿下内网 x.xx.10.50 :

一次 Shiro 到内网漫游横向渗透

之后通过开启了它的 3389 :

run post/windows/manage/enable_rdp

一次 Shiro 到内网漫游横向渗透

然后添加了一个用户:asp.net

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

随即克隆成 administrator 用户:

一次 Shiro 到内网漫游横向渗透

一次 Shiro 到内网漫游横向渗透

由于当前机器是不出网的,排查是 DNS 的问题,随即改了他的 DNS 为 8.8.8.8 就能出网了:

一次 Shiro 到内网漫游横向渗透

随即上线到 CS:

一次 Shiro 到内网漫游横向渗透

之后提权到 SYSTEM 成功抓到 Administrator 的密码:

WIN-xxxxF42860AAdministrator xxxx@WSXWIN-xxxxF42860AAdministrator xxxxfe596a5db81874498a24

拿到密码后通过得到的密码去横向爆破,又拿到了一些机器:

一次 Shiro 到内网漫游横向渗透

针对于 Windows 的可以直接登陆远程桌面或者 Psexec 直接获取一个 Meterpreter :

一次 Shiro 到内网漫游横向渗透

对于 Linux 可以直接登陆目标 SSH:

一次 Shiro 到内网漫游横向渗透

弄到这里的时候客户叫停,至此不再深入,本次渗透测试到此为止!


InBug-实验室


官网:https://www.inbug.org/

InScan内网扫描器:https://github.com/inbug-team/InScan

本文始发于微信公众号(爱国小白帽):一次 Shiro 到内网漫游横向渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: