记一次从废弃系统入手到内网漫游

admin
admin
admin
101398
文章
87
评论
2021年12月22日01:54:45评论74 views字数 2157阅读7分11秒阅读模式

记一次从废弃系统入手到内网漫游记一次从废弃系统入手到内网漫游







原文地址:https://xz.aliyun.com/t/10024


本文仅用于技术讨论,切勿用于违法途径,后果自负!


入口


首先是主站,测试了下没发现上面可疑的点


记一次从废弃系统入手到内网漫游


然后扫了下子域名和旁站


记一次从废弃系统入手到内网漫游


发现一个bbs网站,看样子是废弃了很久的


记一次从废弃系统入手到内网漫游


admin/admin弱密码成功登录后台


记一次从废弃系统入手到内网漫游


尝试找上传点,结果发现允许上传的附件类型里有个jsp,估计是有大佬来过了


记一次从废弃系统入手到内网漫游



后台找了半天也没找到上传点,这里傻X了,直接在前台发布帖子,上传附件,然后抓包改包就可以传webshell了


记一次从废弃系统入手到内网漫游


在后台找到附件保存的地址,哥斯拉连接


记一次从废弃系统入手到内网漫游


直接就是system权限,但是在内网中没有域


记一次从废弃系统入手到内网漫游


传procdump上去读取lsass内存,保存到本地用mimikatz读取密码,成功获取明文密码


记一次从废弃系统入手到内网漫游


netstat -ano看了下没开3389,直接cmd执行


REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

开启3389


由于在内网,不能直接连接,而且tasklist发现有数字杀软,做个免杀msf马,上传后运行


(这里后来发现杀软是3某0天擎,而且好像很久没更新了,所以完全不免杀都可以上线)


成功反弹shell到vps,接着端口转发,本地连接服务器对应端口,成功进入桌面


记一次从废弃系统入手到内网漫游

 内网信息收集

继续翻配置文件,没找到什么有用的数据,都是些病人挂号、出院之类的信息


继续翻数据库软件,然而其他服务器要么早就改了密码了要么连接上还是没有有用数据


记一次从废弃系统入手到内网漫游


然后在文档处发现有rdp远程连接文件,而且和该服务器不在同一网段,猜测有多个网段


上传工具扫描内网,好家伙内网存活900多台主机


记一次从废弃系统入手到内网漫游

RDP爆破

将扫描结果打包保存到本地,写个脚本导出所有开启了rdp服务的主机ip


记一次从废弃系统入手到内网漫游


上传rdp爆破工具和ip字典,爆破

记一次从废弃系统入手到内网漫游


只爆破到七八台主机有弱密码


记一次从废弃系统入手到内网漫游


直接连接了下,确认密码正确


记一次从废弃系统入手到内网漫游

 iMC服务器

翻http服务的时候发现一个H3C 的 iMC 平台,想到它有一个RCE漏洞,这里传了个cs马上去开启socks服务(因为嫌msf起的socks不太稳定)


本地用Proxifier连接代理vps,将流量带到远程内网中,打开burp利用公开的exp尝试攻击


记一次从废弃系统入手到内网漫游


利用成功,尝试ping了下百度,发现机器不出网,那就只能写shell了


用dir命令找到web目录(图片是后来补的,当时只有一个index.html)


记一次从废弃系统入手到内网漫游


测试了一下,发现在未登录的情况下访问imc的其他路径都会被要求重新登录而跳转到login.jsf


所以不能把shell写到imc当前所在目录,必须找到apache webapp的ROOT目录才行(就是上图)


现在找到需要上传的目录,然后开始尝试写shell,先百度了一个jsp一句话shell


<%Runtime.getRuntime().exec(request.getParameter("i"));%>


直接用echo命令无法写入,因为特殊字符需要转义


其中尖括号需要用逃逸字符^转义,百分号需要用url编码,就这么一个个手动fuzz


记一次从废弃系统入手到内网漫游


然而在双引号处被卡住了,无论是逃逸字符转义,还是反斜杠转义,或者url编码,都不行,无法写入。


于是破罐破摔,既然单引号可以写入,那就把shell里面的双引号改成单引号,还是该转义的转义,该编码的编码,写shell,浏览器访问,果不其然报错了。


记一次从废弃系统入手到内网漫游

记一次从废弃系统入手到内网漫游


在Stack overflow找了一圈也没找到办法,都是在说用放斜杠转义双引号,然而我这边无论怎样转义还是不行


就在一筹莫展的时候突然意识到,还有个Windows自带的神奇没用上啊,


certutil.exe,虽然这台服务器不出网,但是跳板机是有内网web服务的啊,可以直接在跳板机的web目录放写好的shell,然后imc服务器用certutil.exe下载


说干就干,用哥斯拉生成jsp shell,上传到跳板机


记一次从废弃系统入手到内网漫游


(这里还傻X了一下,我直接把jsp文件放上去了,结果certutil下载下来发现文件大小是0 kb的时候才反应过来放jsp在跳板机上会被解析)


然后burp里执行命令下载到ROOT目录,改后缀名为jsp,哥斯拉配置代理,连接之,成功!


记一次从废弃系统入手到内网漫游


记一次从废弃系统入手到内网漫游


然后还是一套procdump + mimikatz读取hash的老操作,成功拿到密码:


记一次从废弃系统入手到内网漫游


然后和跳板机密码一比对,发现imc服务器密码是****@H3Cmanager,而跳板机密码是****@***240(240是本机内网ip最后一位)


尝试构造密码字典爆破其他服务器

 内网监控

因为开了ftp服务的主机太多了,就懒得爆破了,翻了下其他http服务,很繁杂,海康威视、大华、医用设备的web端、网络会议系统、网神系统、反统方系统、交换机吧啦吧啦的,运维安全观念还是很强的,几乎没有弱口令,但是还是发现几台监控设备是用的弱密码记一次从废弃系统入手到内网漫游

我丢当时点开这个页面的时候直接把我吓飞好吗,还以为是停尸间,当时人就呆住了


记一次从废弃系统入手到内网漫游


好在第二天白天看了眼,只是普普通通的病房。

后话

当时拿下跳板机的时候注意到进程有个vmtool.exe就知道是在虚拟机了,尝试了Github上面某位师傅的vmware逃逸poc,师傅说成功率在50%左右,


可是我试了很多次都不行,可能是使用姿势不对。如果还有后续的话再写后续吧。


记一次从废弃系统入手到内网漫游

END

记一次从废弃系统入手到内网漫游


本文始发于微信公众号(网络侦查研究院):记一次从废弃系统入手到内网漫游

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月22日01:54:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次从废弃系统入手到内网漫游http://cn-sec.com/archives/462761.html

发表评论

匿名网友 填写信息